感觉目前win环境下行为杀还是很弱

咖啡28576

Fadouse 发表于 2025-3-10 20:29
QQNT没有Q盾了
目前未发现扫盘和读取其他进程内存的行为

如此说来没有任何隐私威胁有没有检查用户是否使EDR的行为呢？

Fadouse

咖啡28576 发表于 2025-3-10 20:37
如此说来没有任何隐私威胁有没有检查用户是否使EDR的行为呢？

如果有会有日志的 (通过tasklist或者注册表查询安装/注册的av产品)
QQNT确实没有，但不代表老版qq也是如此
可能这里的指标您不知道是什么意思

我让ai帮你总结了份报告
从事件和进程树来看，QQ（腾讯即时通信客户端）在运行过程中触发了多项安全监测指标，这些指标对应到MITRE ATT&CK矩阵中的不同技术点。下面结合每个侦测到的行为，简要分析QQ进程可能做了哪些操作、以及为何会触发这些安全告警。

---

1. Evasion（规避检测）

• HeaderExtensionMismatch（文件头与扩展名不匹配）
  
  
  • 告警内容：文件头与文件扩展名不一致。
  • 可能原因：有些软件会对自身或其组件进行打包、加壳或加密，导致文件头与常规可执行文件的签名不一致，也可能是为了反调试、对抗简单的静态分析。QQ客户端常用自定义打包方式或壳保护，这种技术会导致安全工具报“文件头与扩展名不匹配”的告警。
  • 对应MITRE：Defense Evasion {T1027}，以及 T1480.001（执行混淆），T1036.008（伪装成合法文件）等。
    
• SuspiciousRegistryValue（可疑的注册表键值）
  
  
  • 告警内容：进程创建或修改了一个可疑的注册表键值。
  • 可能原因：QQ可能会在注册表中写入某些键值来实现自动启动、版本更新、或者进行某些配置管理。一些安全产品对在非标准位置或以非标准方式创建/修改注册表的行为会做出“可疑”或“恶意”提示。
  • 对应MITRE：Defense Evasion {T1112}（修改注册表）、T1027（混淆/加密）、T1564.005（隐藏启动项等）、T1480.001（混淆技术）。
    

---

2. General（通用检测）

• AddVehHandler（添加Vectored Exception Handler）
  
  
  • 告警内容：检测到注册了新的“向量化异常处理程序（Vectored Exception Handler）”。
  • 可能原因：一些软件会使用VEH进行异常捕获、调试保护、或实现反调试、加密解密流程。IM软件（如QQ）出于稳定性、保护自己进程不被调试或Hook，也可能使用此机制。
  • 安全影响：这通常是高级的防护或反调试手段。若软件正常可信，则问题不大；若是恶意程序，往往会利用VEH干扰安全产品对自身的检测。
    
• ProcessStartedFromLnk（从快捷方式启动进程）
  
  
  • 告警内容：进程是由.lnk快捷方式文件触发的。
  • 可能原因：用户桌面或开始菜单上的QQ快捷方式被双击运行，这是最常见的启动方式。
  • 对应MITRE：Execution {T1204}（用户执行可疑文件/快捷方式），在正常软件中则是常规行为。
    

---

3. Discovery（信息收集与侦察）

• NetworkConfigurationDiscovery（获取网络配置）
  
  
  • 告警内容：进程尝试获取本机网络配置信息。
  • 可能原因：QQ在启动或连接服务器时，通常需要检测当前网络环境（如是否使用代{过}{滤}理、网卡IP、DNS等），从而决定连线方式、传输协议等。
  • 对应MITRE：Discovery {T1016}（系统网络配置发现）、T1049（系统端口扫描或网络枚举）、T1082（系统信息发现）、T1018（远程系统发现）等。
    
• WmiQueryNetworkConfigurationDiscovery（通过WMI查询网络配置）
  
  
  • 告警内容：进程通过WMI执行查询网络配置的操作。
  • 可能原因：QQ或其组件利用WMI方式获取网络环境信息（如网卡、IP、DNS），这是Windows环境下常见的查询手段。
  • 对应MITRE：Discovery {T1016}、T1049、T1082、T1614（系统资源发现）、Execution {T1047}（WMI执行），Collection {T1119}、Defense Evasion {T1480.001}等。
    
• WmiQuerySystemPrimaryUserDiscovery（通过WMI查询系统主要用户）
  
  
  • 告警内容：进程通过WMI方式查询当前系统的主要用户。
  • 可能原因：一些软件会尝试获取当前登录用户信息，用于显示用户名、区分配置、或者统计分析。
  • 对应MITRE：Discovery {T1033}（系统用户发现），Execution {T1047}（WMI执行），Collection {T1119}，Defense Evasion {T1480.001}等。
    

---

4. Privilege Escalation（权限提升）

• ProcessCreatedWithDifferentToken（以不同令牌创建进程）
  
  • 告警内容：由非SYSTEM进程创建了一个使用不同令牌（token）的新进程，可能涉及进程间的权限变化。
  • 可能原因：QQ在更新、启动子进程或特定功能（比如视频通话、文件传输）时，可能会尝试以更高或不同权限运行子进程，或者进行某种令牌模拟（Token Impersonation）来访问资源。也有些应用程序为了与系统服务通信，会使用某种令牌来执行特定操作。
  • 对应MITRE：Privilege Escalation {T1134.002}（令牌模拟或权限转移），T1078（有效账户的使用），Defense Evasion {T1134.002}，Persistence {T1078}，Initial Access {T1078}等。
    

---

5. 总体分析与结论

• 正常应用可能性：
  QQ是一款体量较大、功能较多的即时通信软件，常常涉及复杂的模块与保护机制。它使用壳保护、混淆、注册表写入、网络与系统信息查询等功能，这些操作在安全审计工具中常会被标记为“可疑”或“潜在威胁”，但对于大型商业软件而言并不罕见。
  
• 为何会被安全工具标记：
  
  
  • 文件头与扩展名不符：软件加壳/加密导致签名不符合常规PE特征；
  • 可疑注册表操作：创建/修改自动启动或配置项；
  • 向量化异常处理：可能带有反调试或自保护手段；
  • WMI查询：获取网络、系统用户信息；
  • 使用不同令牌创建进程：可能涉及自动更新、进程间通信或权限管理。
    
• 是否恶意：
  从主流使用情况看，腾讯QQ并非恶意软件。这些行为通常是QQ在实现自保护、功能检测、系统信息收集时的常规操作。但在严格的安全监控环境中，任何具备加壳、自保护、权限操作的行为都会被标记为可能的“混淆或逃避检测”手段。若环境允许并信任QQ，则可在安全策略中将其列为可信应用；但若在敏感环境（如高安全等级网络）中，需要对这些行为进行更细的审计和管控。
  
  

---

建议

• 确认软件来源及完整性：确保安装包来自官方渠道，避免被篡改。
• 检查注册表与进程行为：若在高安全环境中，可限制其权限或网络访问范围。
• 结合上下文判断：如果确实是QQ的官方进程且未被恶意篡改，可视作正常现象；若有可疑文件名、路径、或数字签名异常，需进一步排查。
  

总之，QQ 进程显示的这些行为多数可归结为正常的即时通讯软件自保护、功能检测或网络环境适配操作，但在安全审计系统中就会产生上述多条告警。结合使用场景和软件来源，基本可判断为正常行为，而非恶意攻击活动。