FakeApp 2x（木钱看来打到银狐了）

显示全部楼层 · 发表于 2024-9-27 22:24:44

00006666 发表于 2024-9-27 22:07
有开写入扫描吗(高监控等级)，如果有写入扫描，它驱动落盘就会被干掉

直接用的默认设置

很奇怪，火绒处于一种一会能拦下来一会拦不下来的情况

显示全部楼层 · 发表于 2024-9-27 22:29:19

QVM360 发表于 2024-9-27 22:20
写入也算修改的一种吧

正常本来写入扫描要干掉它的，银狐驱动是落盘了，别人rootkit有的都是内存加载不落盘

显示全部楼层 · 发表于 2024-9-27 22:31:10

UNknownOoo 发表于 2024-9-27 22:11
监控等级和系统加固都是默认设置

至于漏洞驱动文件落地没捉的问题之前也有上报过...火绒那边首次分析 ...

“您好，这边判断该程序不关闭句柄，无法判断是否写完成，所以modify消息未抛“
这个是什么离谱的理由啊……

显示全部楼层 · 发表于 2024-9-27 22:52:42

00006666 发表于 2024-9-27 22:24
以前回复过一个内容，放到这边也一样的

https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost& ...

是这样的...而且火绒的一些hips加白规则也十分的离谱...

Be like：

某种意义上真的很容易被利用绕过（如果我没理解错的话，polexcp里面的应该是加白内容？）

显示全部楼层 · 发表于 2024-9-27 22:54:20

显示全部楼层 · 发表于 2024-9-27 22:59:28

UNknownOoo 发表于 2024-9-27 22:52
是这样的...而且火绒的一些hips加白规则也十分的离谱...

Be like：

而且我又测试了几遍火绒（默认设置）
有被系统免疫拦的，有报漏洞利用的，但更多的是火绒没了
就突出一个玄学

显示全部楼层 · 发表于 2024-9-27 23:00:10

本帖最后由 00006666 于 2024-9-27 23:01 编辑

UNknownOoo 发表于 2024-9-27 22:52
是这样的...而且火绒的一些hips加白规则也十分的离谱...

Be like：

纯本地hips，低弹窗、易用性跟高防护本质上是冲突的，所以要自己写规则加持

显示全部楼层 · 发表于 2024-9-28 10:32:20

Raven95676 发表于 2024-9-27 22:59
而且我又测试了几遍火绒（默认设置）
有被系统免疫拦的，有报漏洞利用的，但更多的是火绒没了
就突出一 ...

加载漏洞驱动KillAV么？火绒这方面比较佛系而且都集中在专杀工具对抗了
PS 之前有人上报过一个KillAV的驱动（列表中包括火绒）希望专杀工具支持检测并对抗火绒病毒分析师：暂不考虑通过分析这个驱动样本还在调试中而且驱动功能很单一

显示全部楼层 · 发表于 2024-9-28 10:41:09

Raven95676 发表于 2024-9-27 22:24
直接用的默认设置

很奇怪，火绒处于一种一会能拦下来一会拦不下来的情况

也许跟电脑配置或者是系统虚拟化有关？（猜的）
之前火绒就有在不同电脑上检测率不一致的问题

显示全部楼层 · 发表于 2024-9-28 15:21:06

[病毒样本] FakeApp 2x（木钱看来打到银狐了）