感觉中招了，可是火绒和360都扫描不出木马病毒

scottxzt

bbszy 发表于 2024-5-11 09:43
可以先按照这个清理一下

这套啥东东，挺高级的

bbszy

scottxzt 发表于 2024-5-13 00:36
这套啥东东，挺高级的

咖啡的自适应防护，行为分析，带回滚

但是很卡。我实机都卸载了这个组件，就虚拟机里装了。

wwwab

00006666 发表于 2024-5-12 23:59
不是所有软件都能做成360核晶的，几年前那个360白皮书说的东西现在都还很有道理。

我记得360核晶也不拦截Syscall啊，只拦截一部分Inject by Syscall，而且还是在Magniber流行之后添加的远程线程注入拦截，你应该还有印象吧

DisaPDB

wwwab 发表于 2024-5-13 06:42
我记得360核晶也不拦截Syscall啊，只拦截一部分Inject by Syscall，而且还是在Magniber流行之后添加的远 ...

因为SysCall对360核晶（或者说所有R0 Hooking）无效，就算你绕了R3 Hook也不可能绕过SSDT。
360的注入拦截在此之前就有，而且不仅仅是远程线程，包括APC/进程镂空之类所有的注入类都会报出远程线程注入更进一步讲，T1055进程注入的十一个子技术，360都是报远程线程注入，但是会有不同的HIPS对应条目（日志里的详细信息）

DisaPDB

00006666 发表于 2024-5-12 23:59
不是所有软件都能做成360核晶的，几年前那个360白皮书说的东西现在都还很有道理。

https://360.net/en/product-center/endpoint/edr
是这个吗

00006666

wwwab 发表于 2024-5-13 06:42
我记得360核晶也不拦截Syscall啊，只拦截一部分Inject by Syscall，而且还是在Magniber流行之后添加的远 ...

Magniber第一次出现就能拦了，很早以前就有这个功能，前提是开启核晶，虚拟机默认不开也大概率打不开，360核晶做的这种技术上理论可以拦截目前见到的所有此类绕EDR方式，部分拦不住的都是拦截规则没覆盖的问题，只要下发规则就能解决。

00006666

DisaPDB 发表于 2024-5-13 07:08
https://360.net/en/product-center/endpoint/edr
是这个吗

联合Gartner发布的白皮书，《数字时代EDR 技术发展趋势》，很多年的东西

kkfans66

scottxzt 发表于 2024-5-12 23:52
对于一个普通的使用者，这种毒也是绕不开的，过了火绒的扫描，过了VIRUS Total 所有扫描器的扫描，过了火绒 ...

我就是这样的普通用户

scottxzt

bbszy 发表于 2024-5-13 00:51
咖啡的自适应防护，行为分析，带回滚

但是很卡。我实机都卸载了这个组件，就虚拟机里装了。

哦，这个很详细，还带回滚的的确不错，在样本区看看感兴趣的病毒动作挺不错。感谢你还有这里为楼主提供

帮助的所有朋友们，由于你们的存在卡饭才能变得更加好！这也是卡饭意义的所在！

scottxzt

kkfans66 发表于 2024-5-13 08:30
我就是这样的普通用户

不要责怪自己脑袋发晕，其实你已经做了一个普通用户在·安装未知软件应该做的了。对于杀软来说，能够扫描出来的就已经不是病毒了，对于未知的病毒防范才是各大杀软公司应该重视的。就像这里的老师说的那样病毒永远都会找到切入点，防范永远是落后一步的。病毒库也不可能无限的扩充，目前来看只有依靠各大杀软公司强大的云服务器来对抗这些未知病毒，对于制毒者来说，云就像一只巨大的黑盒子，它的运行逻辑肯定是秘而不宣的。这个才是他们头痛的地方。