增强模板检测绕过 #36
Comments
|
增强防御通过注入后Hook,这些都可以通过DirectSysCall绕过的,需要内核增强防御才能拦截。 |
|
一般这类病毒需要重启,是强杀安全软件失败后,设置了开机启动服务(驱动),然后依赖重启后组织安全软件。所以把持久化控制好,直接组织服务的创建就好了。 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
最近的样本中存在检测系统环境并执行不同行为的情况,故复现该问题需要同时安装 火绒 和 冰盾 才可以复现。
问题:在启用 增强模板 中的规则 “禁止关机(重启)” ,响应动作:询问(默认拦截)后,仍然无法阻止该样本的强制重启系统操作。
样本:https://wwjw.lanzouq.com/ihw3r2ha01lc (解压密码为:infected)
The text was updated successfully, but these errors were encountered: