恶意木马1X

lsop1349987

emsisoft双击

1. 2025/6/3 21:38:29
   
2. 行为监控检测 可疑行为 "HiddenInstallation" 来自于 C:\Users\user\Desktop\3333.exe (SHA1: B6D2EC69209A4333C51A388A6EDA31F7E511E4C6)

复制代码

tihs

biue

腾讯电脑管家 1X

陌染淡殇

aboringman 发表于 2025-6-3 14:19
我去，你居然没有加密

360：0

咖啡右扫已能kill

tomochan

aikafans

UNknownOoo 发表于 2025-6-3 14:31
火绒
扫描：未检出
运行：主防捉，但未清除完全；手动内存扫描检出，仍然未清除完全

样本区看到好几次能发现，但是清除不干净........

隔山打空气

aikafans 发表于 2025-6-4 10:10
样本区看到好几次能发现，但是清除不干净........

对于一个检测点只能靠内核回调的安全软件来说想根除注入类样本本身就不现实 它不知道恶意软件会往哪里写内存 因为几乎没有内存管理API的可见性 这种时候能检出已经算是尽力了

aikafans

隔山打空气 发表于 2025-6-4 10:24
对于一个检测点只能靠内核回调的安全软件来说想根除注入类样本本身就不现实 它不知道恶意软件会往哪里写 ...

只能说，道阻且长，加油吧

00006666

隔山打空气 发表于 2025-6-4 10:24
对于一个检测点只能靠内核回调的安全软件来说想根除注入类样本本身就不现实 它不知道恶意软件会往哪里写 ...

火绒就算以后做出来了别的拦截，恐怕实际运用也不会很好，因为火绒的问题根本就不是出在能不能拦截，是他就算能拦截，但是如果火绒他们觉得误报太高影响到用户体验，他们会直接不默认开启的，就跟现在的内存扫描默认仅记录不拦截，以及HIPS里面一大堆拦截项目一样，里面很重要的比如驱动加载拦截等等都是默认不开启，现在的火绒过于看重用户体验了，对于用户体验的追求甚至大于防护能力。

以前我总结过一段话，不知道火绒什么时候能改，哪天上云信誉了可能就能解决这个问题了。

https://bbs.kafan.cn/forum.php?m ... 272898&pid=55089919

前段时间跟肉鸡哥谈过这个，也许随着肉鸡哥加入火绒，火绒在这方面会有改进吧，至少现在火绒内部可以意识到云信誉/白名单的重要性了，至少现在的火绒可以知道没有白名单很多操作就不好整。

https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2281618&pid=56205554

隔山打空气

00006666 发表于 2025-6-4 21:33
火绒就算以后做出来了别的拦截，恐怕实际运用也不会很好，因为火绒的问题根本就不是出在能不能拦截，是他 ...

云白名单也不好说，因为不少用户喜欢用奇奇怪怪的程序，他们也看重火绒低误报低打扰的特性，这种情况下云白名单很难识别误报导致某些情况下弹窗依然较多

不过有了云之后可以下发一组行为遥测规则，往后再根据报告逐步调整来辅助解决误报问题