查看: 3669|回复: 31
收起左侧

[分享] 冰盾4.6.4更新

[复制链接]
Komeiji-Reimu
发表于 2024-11-16 21:04:15 | 显示全部楼层 |阅读模式
本帖最后由 Komeiji-Reimu 于 2024-11-16 21:22 编辑

4.6.4.0
  • 添加内核增强防御支持(专业版配置里开启)
    • 支持进程隐藏
    • 支持内存修改检测
    • 支持异步过程调用检测
    • 支持修改线程上下文检查
  • 内置规则
    • 添加联网提醒
    • 添加禁止创建任务计划
    • 添加禁止Shellcode注入
    • 添加禁止进程异步过程调用注入
    • 修复重复加载NTDLL拦截异常的问题
    • 优化部分规则参数
  • 模板
    添加进程隐藏模板(依赖内核增强模式)
  • 其他
    • 修复会话隔离导致拖曳进去参数列表失败的问题
    • 优化信任列表图标查询缓慢的问题


专业版激活码:您可以按照软件提示免费获取

下载地址:
https://trustsing.com/idefender/#_4-6-4-0

请留意增强内核模式的开启注意事项


评分

参与人数 1经验 +20 收起 理由
白露为霜 + 20 版区有你更精彩: )

查看全部评分

安全测评
发表于 2024-11-16 21:17:12 | 显示全部楼层
可以监控到并拦截LummaStealer这类病毒的Shellcode注入行为

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
yexo + 3 版区有你更精彩: )

查看全部评分

dght432
发表于 2024-11-16 22:30:48 来自手机 | 显示全部楼层
安全测评 发表于 2024-11-16 21:17
可以监控到并拦截LummaStealer这类病毒的Shellcode注入行为

这是那个样本?我想试试。这边试了好几个LummaStealer都是拦截镜像注入(可能没有Shellcode注入行为?)
Komeiji-Reimu
 楼主| 发表于 2024-11-16 22:39:18 | 显示全部楼层
dght432 发表于 2024-11-16 22:30
这是那个样本?我想试试。这边试了好几个LummaStealer都是拦截镜像注入(可能没有Shellcode注入行为?)

看着像样本区新发的

评分

参与人数 1人气 +1 收起 理由
dght432 + 1 版区有你更精彩: )

查看全部评分

安全测评
发表于 2024-11-16 22:43:30 | 显示全部楼层
dght432 发表于 2024-11-16 22:30
这是那个样本?我想试试。这边试了好几个LummaStealer都是拦截镜像注入(可能没有Shellcode注入行为?)

还是原来的样本,可以找之前的LummaStealer试试。
旧版本只有镜像注入,新的开了内核增强模式后,是可以把逻辑串起来了:
1. 先重复加载ntdll
2. 使用DirectSyscall镜像注入一个白的dll
3. 注入shellcode到这个白dll的位置,实现dll hollow隐藏代码执行的模块的堆栈

评分

参与人数 2人气 +5 收起 理由
yexo + 2 赞一个!
dght432 + 3 感谢解答: )

查看全部评分

dght432
发表于 2024-11-16 22:55:10 | 显示全部楼层
安全测评 发表于 2024-11-16 22:43
还是原来的样本,可以找之前的LummaStealer试试。
旧版本只有镜像注入,新的开了内核增强模式后,是可以 ...

试了一下开启内核增强拦截,确实能拦截,先拦截镜像注入,放行再拦截shellcode注入
ongarabazanade
发表于 2024-11-17 00:27:40 | 显示全部楼层
感谢分享,冰盾越来越棒了!感谢大神制作出这么好的软件
ddxuchen
发表于 2024-11-17 09:20:26 | 显示全部楼层
感谢楼主分享
nogoodren
发表于 2024-11-17 19:41:49 | 显示全部楼层
有些软件会在系统后台悄悄下载安装新版本,通过什么规则可以拦截?
杀软病综合医院
发表于 2024-11-17 22:10:42 | 显示全部楼层
nogoodren 发表于 2024-11-17 19:41
有些软件会在系统后台悄悄下载安装新版本,通过什么规则可以拦截?

规则市场--安装包检测
内置规则--严格规则--禁止临时目录下的进程启动--开启
自定义规则,知道新版本下载位置,禁止该位置下进程运行。或者知道新版本下载的文件名字,也可以禁止该文件运行
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-21 23:38 , Processed in 0.126641 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表