iDefender icon indicating copy to clipboard operation
iDefender copied to clipboard
verified publisher icon wecooperate

检测绕过

Open UnknownOooo opened this issue 1 year ago • 5 comments

冰盾似乎无法检测该样本篡改进程(colorcpl.exe )内存的行为

此外该样本似乎也绕过了冰盾自带的父进程欺骗检测?(此进程不应由explorer.exe启动) Screenshot 2024-11-19 005731

样本(解压密码infected):https://wwjw.lanzouq.com/iu3IW2fgzape

UnknownOooo avatar Nov 18 '24 17:11 UnknownOooo

  1. 篡改进程(colorcpl.exe )内存的行为 这个因为一些条件被过滤掉了,后面恢复加上检测
  2. 这个进程是通过shell接口让explorer发起的,具体怎么触发后面看能不能检测

1

wecooperate avatar Nov 19 '24 14:11 wecooperate

2 1 等下个版本发布,可以拦截创建傀儡进程的过程

wecooperate avatar Nov 23 '24 13:11 wecooperate

2 1 等下个版本发布,可以拦截创建傀儡进程的过程

能再看看这个样本嘛?冰盾内置规则似乎没法检测到该样本的 镂空进程 和 修改线程上下文 的行为,解压密码依然是infected sample.zip

UnknownOooo avatar Dec 06 '24 05:12 UnknownOooo

https://www.henry-blog.life/henry-blog/shellcode-jia-zai-qi/jin-cheng-lou-kong-zhu-ru-kui-lei-jin-cheng 我直接编译这里面的demo代码,也无法触发检测(已经开了”内存篡改“规则,未重启;开了增强防御-“禁止修改其他进程的线程上下文”规则,未重启) 目前版本4.6.5

jnabnsn avatar Jan 10 '25 03:01 jnabnsn

行为是使用MapViewOfSection注入内存,再通过修改线程上下文,普通的增强防护容易被绕过,等下个版本开启内核增强模式后可以检测和拦截。

wecooperate avatar Jan 25 '25 11:01 wecooperate