银狐 白加黑衍生物

驭龙

inhh1 发表于 2025-5-17 22:52
BD的高级反漏洞利用也出现了这种情况，杀掉了被注入的explorer，也没重新拉起来，也没溯源到，在人工启动 ...

不一样的，防御Exploit攻击的功能都是只阻止行为，不删除文件，而ESET的AMS是内存监控，并不是漏洞利用防御

hansyu

驭龙 发表于 2025-5-17 22:42
其实吧，就算是DBI也没有修复能力。

虽然我天天吐槽McAfee现在的驱动太差，可人家的RP还是很强的，起 ...

咖啡的问题是只靠ETW收集进程行为，很容易被针对，另外云端的行为模型不知道是不是触发阈值过于严格，大部分样本看咖啡的日志显示云端返回结果不是RPT_Unknown就是RPT_NOT_enough_events，就很无语。

inhh1

驭龙 发表于 2025-5-17 22:54
不一样的，防御Exploit攻击的功能都是只阻止行为，不删除文件，而ESET的AMS是内存监控，并不是漏洞利用防 ...

ESET没回滚还是很尴尬的，bd这现在也有类似的问题，如果你在控制台设置的策略是阻止而不是删除（默认设置）的话，情况就和eset差不多了，bd侧是反复atd杀，连带着explorer一起死

Rukia

hansyu 发表于 2025-5-17 22:27
是的，AMS最大的问题是不像卡巴之类的和其他行为分析组件联动，要是AMS能和DBI联动，分析威胁进程加载的 ...

我遇到一次内存扫描报毒，日志是svchost(pid xxxx)一直发给LiveGrid，最后给衍生物云黑，suspicious object.

驭龙

hansyu 发表于 2025-5-17 22:57
咖啡的问题是只靠ETW收集进程行为，很容易被针对，另外云端的行为模型不知道是不是触发阈值过于严格，大 ...

其实吧，如果是InfinityHook 的话，监控还是够用的，不过是不是InfinityHook 或者还是早期的ETW，我没有进一步研究。

RP起码还是有本地和云双层行为特征的回滚主防，这还是可以的，起码比没有回滚主防的好一点

驭龙

inhh1 发表于 2025-5-17 23:00
ESET没回滚还是很尴尬的，bd这现在也有类似的问题，如果你在控制台设置的策略是阻止而不是删除（默认设置 ...

是啊，主防还是有回滚的比较牛，真的好怀念当年无敌的SONAR啊，现在也是被ML杀抢风头了，关注度比较低了

hansyu

驭龙 发表于 2025-5-17 23:05
其实吧，如果是InfinityHook 的话，监控还是够用的，不过是不是InfinityHook 或者还是早期的ETW，我没有 ...

关于RP，R108-R112那段时间样本区的样本双击偶尔还能看到RP杀，自从样本区全是银狐或者fakeapp的时候我就再也没看见能触发RP杀的样本……

hansyu

Rukia 发表于 2025-5-17 23:04
我遇到一次内存扫描报毒，日志是svchost(pid xxxx)一直发给LiveGrid，最后给衍生物云黑，suspicious obje ...

这个感觉就不是行为分析的功劳了……等云拉黑时间有点久

inhh1

驭龙 发表于 2025-5-17 23:07
是啊，主防还是有回滚的比较牛，真的好怀念当年无敌的SONAR啊，现在也是被ML杀抢风头了，关注度比较低了

BD企业版还好，大不了登控制台用EDR对着行为来阻断，个人版怕就怕杀不干净

驭龙

hansyu 发表于 2025-5-17 23:11
关于RP，R108-R112那段时间样本区的样本双击偶尔还能看到RP杀，自从样本区全是银狐或者fakeapp的时候我就 ...

现在的样本区都是几大类的样本，有一点单调了，所以你说的这情况确实是这样的