RemcosRAT

显示全部楼层 · 发表于 2024-10-16 20:19:21

kaba666 发表于 2024-10-16 19:56
双击联网，被远程注入，创建了开机启动，联网被卡巴拦截,应外吐槽一下卡巴的无文件威胁防护也是扯淡的！

这不是被"其他保护技术"拦截了吗

显示全部楼层 · 发表于 2024-10-16 20:23:36

Loyisa 发表于 2024-10-16 20:19
这不是被"其他保护技术"拦截了吗

是的被联网拦截了，还是云端响应的，要是没得云，基本趴窝

显示全部楼层 · 发表于 2024-10-16 20:25:40

kaba666 发表于 2024-10-16 20:23
是的被联网拦截了，还是云端响应的，要是没得云，基本趴窝

上报走起来！

显示全部楼层 · 发表于 2024-10-16 20:32:13

Loyisa 发表于 2024-10-16 20:25
上报走起来！

靠上报，也就拉黑处理，得加强防御才是王道，卡巴的hips简直是摆设，自动模式下都是被放过。你设置某项提示操作，它根本不提示你，必须开手动模式，手动模式一开，HIPS和防火墙都开了，而且防火墙还不在自动模式下单独开手动模式，这设计真的蛋痛

显示全部楼层 · 发表于 2024-10-16 20:33:15

kaba666 发表于 2024-10-16 20:32
靠上报，也就拉黑处理，得加强防御才是王道，卡巴的hips简直是摆设，自动模式下都是被放过。你设置某项提 ...

你可以在上报的时候要求加PDM(主防)检测的

显示全部楼层 · 发表于 2024-10-16 20:35:23

Loyisa 发表于 2024-10-16 20:33
你可以在上报的时候要求加PDM(主防)检测的

Cirno

显示全部楼层 · 发表于 2024-10-16 20:57:30

QAX拦截powershell，允许后继续拦截

显示全部楼层 · 发表于 2024-10-16 21:02:14

eset自定义规则偶尔还是有点用的

显示全部楼层 · 发表于 2024-10-16 21:53:50

明目张胆！

iniiivan.duckdns.org

显示全部楼层 · 发表于 2024-10-16 22:06:39

本帖最后由 Komeiji-Reimu 于 2024-10-16 22:21 编辑

QVM360 发表于 2024-10-16 21:53
明目张胆！

iniiivan.duckdns.org

是有这么个东西

复制代码

在日志中记录启动的程序和窗口名称，读取剪切板内容，同时设置键盘钩子来读键盘（似乎，不过日志里面好像没看见）

[病毒样本] RemcosRAT