HitmanPro.Alert Exploit Test Tool

驭龙

xxxxxxxfc 发表于 2024-12-10 21:24
我让你把这个测试工具的数字签名给抹除了卡巴很多年前的版本都能拦这玩意，虽然不能全拦而已。至于 ...

我之前以为你说的是卡巴的设置，所以没有清除文件的数字签名

刚刚在另一台电脑上清除这工具的数字签名， 改名成iexplore.exe，然后调用edge启动，测试360卫士，拦截了大部分的攻击API


卡巴的设备今天没启动就没测，有时间再测，顺便一提ESET不愧是大号扫描器，默认的自动模式HIPS和智能模式HIPS，根本没反应，当真是大号扫描器啊

驭龙

xxxxxxxfc 发表于 2024-12-10 21:24
我让你把这个测试工具的数字签名给抹除了卡巴很多年前的版本都能拦这玩意，虽然不能全拦而已。至于 ...

按照我21楼的方法，测试卡巴的AEP也就是漏洞利用防御，为了避免影响，关闭入侵防御，测试结果跟我之前说的没区别，AEP没有检测到负载，是不会触发拦截的
https://f.ws28.cn/f/fs5f5rrvuei
测试过程的视频。

简单发一下测试过程，HPAET工具破坏签名，改名为IE进程名，调用edge浏览器，卡巴漏洞利用防御开启自动，入侵防御也就是应用程序控制为关闭


测试结果是行为没有被卡巴的AEP阻止，成功调用edge启动。


开启入侵防御，进入低限制组，仍然可以成功启动edge。


之前我确实是没做过这种清除签名的测试，不过按现在的情况看，卡巴AEP确实是不会拦截没有负载的漏洞利用，当然也可能是我测试有误，所以并不代表什么

xxxxxxxfc

驭龙 发表于 2024-12-11 15:48
按照我21楼的方法，测试卡巴的AEP也就是漏洞利用防御，为了避免影响，关闭入侵防御，测试结果跟我之前说 ...

难道卡巴还开倒车了？

驭龙

xxxxxxxfc 发表于 2024-12-12 22:24
难道卡巴还开倒车了？

不清楚，我按你的要求测的，但AEP的功能只有在有负载的情况下才会有反应，这是很久以前就这样的

话说你测过的其他安软，还有谁能拦截啊？

Luna_ovo

驭龙 发表于 2024-12-4 12:51
十年前这工具在卡饭风靡一时，后期渐渐地就没人用它测了，因为没有负载，很多行为分析的主防都不报，只能 ...

所以在特定情况下drweb还是很好用的

驭龙

Luna_ovo 发表于 2024-12-14 01:33
所以在特定情况下drweb还是很好用的

其实最好用的还是hmpa，可惜正版太贵了

xxxxxxxfc

驭龙 发表于 2024-12-12 23:01
不清楚，我按你的要求测的，但AEP的功能只有在有负载的情况下才会有反应，这是很久以前就这样的

话说 ...

都很多年前的事了，现在这些杀毒软件都更新多少个版本了，鬼知道是啥情况。反正反泄漏这块优先考虑hitman（sophos）或者malwarebytes

驭龙

xxxxxxxfc 发表于 2024-12-14 22:20
都很多年前的事了，现在这些杀毒软件都更新多少个版本了，鬼知道是啥情况。反正反泄漏这块优先考虑hitman ...

反漏洞利用，肯定还是HMPA最好用，这毋庸置疑，不过MD的ASR规则，对付部分漏洞利用也有一些效果，感觉比大多数第三方效果都好

xxxxxxxfc

驭龙 发表于 2024-12-14 22:22
反漏洞利用，肯定还是HMPA最好用，这毋庸置疑，不过MD的ASR规则，对付部分漏洞利用也有一些效果，感觉比 ...

没意义，玩那玩意，我还不如直接装个hips。我推荐这俩的好处是不用自己搞规则，你要搞规则直接搞个hips就完了，其它不伦不类

驭龙

xxxxxxxfc 发表于 2024-12-15 12:22
没意义，玩那玩意，我还不如直接装个hips。我推荐这俩的好处是不用自己搞规则，你要搞规则直接搞个hips就 ...

你在说什么呢？ASR也不是自定义规则，启用就完事，要知道MD 是有EMET简化版的，配合ASR也没比HMPA复杂，都是启用就完事