iDefender icon indicating copy to clipboard operation
iDefender copied to clipboard
verified publisher icon wecooperate

增强模板检测绕过

Open UnknownOooo opened this issue 1 year ago • 2 comments

最近的样本中存在检测系统环境并执行不同行为的情况,故复现该问题需要同时安装 火绒 和 冰盾 才可以复现。

问题:在启用 增强模板 中的规则 “禁止关机(重启)” ,响应动作:询问(默认拦截)后,仍然无法阻止该样本的强制重启系统操作。

样本:https://wwjw.lanzouq.com/ihw3r2ha01lc (解压密码为:infected)

UnknownOooo avatar Dec 05 '24 08:12 UnknownOooo

增强防御通过注入后Hook,这些都可以通过DirectSysCall绕过的,需要内核增强防御才能拦截。 对于强制关机创建,一些恶意进程把自己设置成Critical进程后,自己退出会触发蓝屏强制重启,这种是拦截不了的,除非拦截他们把自己设置成Critical进程。

wecooperate avatar Jan 25 '25 11:01 wecooperate

一般这类病毒需要重启,是强杀安全软件失败后,设置了开机启动服务(驱动),然后依赖重启后组织安全软件。所以把持久化控制好,直接组织服务的创建就好了。

wecooperate avatar Jan 25 '25 11:01 wecooperate