UnknownOooo

Results 2 issues of UnknownOooo

增强模板检测绕过

2 comment

最近的样本中存在检测系统环境并执行不同行为的情况,故复现该问题需要同时安装 火绒 和 冰盾 才可以复现。 问题:在启用 增强模板 中的规则 “禁止关机(重启)” ,响应动作:询问(默认拦截)后,仍然无法阻止该样本的强制重启系统操作。 样本:https://wwjw.lanzouq.com/ihw3r2ha01lc (解压密码为:infected)

检测绕过

5 comment

冰盾似乎无法检测该样本篡改进程(colorcpl.exe )内存的行为 此外该样本似乎也绕过了冰盾自带的父进程欺骗检测?(此进程不应由explorer.exe启动) ![Screenshot 2024-11-19 005731](https://github.com/user-attachments/assets/db14227a-f3c1-445a-b4de-1063a2578553) 样本(解压密码infected):https://wwjw.lanzouq.com/iu3IW2fgzape