推荐一便携版杀毒软件emsisoft emergency kit

怎么 · 发表于 2020-10-15 15:45:21

提示: 作者被禁止或删除内容自动屏蔽

桥本有点菜 · 发表于 2020-10-15 16:21:26

h20 发表于 2020-10-15 15:58
还有人不用win10？不会吧，不会吧，

阴阳怪气大水逼yc003t

h20 · 发表于 2020-10-15 15:58:56

提示: 作者被禁止或删除内容自动屏蔽

h20 · 发表于 2020-10-15 15:45:44

提示: 作者被禁止或删除内容自动屏蔽

怎么 · 发表于 2020-10-15 15:47:48

提示: 作者被禁止或删除内容自动屏蔽

镜子里的我 · 发表于 2020-10-15 16:06:09

恕我眼拙，第一次见

龟龟酱 · 发表于 2020-10-15 16:24:02

h20 发表于 2020-10-15 15:45
windows 自带不好吗？

通常我见过的木马如果他跑起来了那自然是干掉了windows defender的...
不然也不需要这种随身携带的扫描器啊
我现在随身带着三个:
EEK NPE 自制魔改版McAfee(VSE去掉了驱动去掉了其他所有功能,只有扫描和更新)
都是这个应用场景

当然,通常是掏出NPE就解决问题了,除了去年那个烦人的主页保安

h20 · 发表于 2020-10-15 16:25:41

提示: 作者被禁止或删除内容自动屏蔽

龟龟酱 · 发表于 2020-10-15 16:31:59

h20 发表于 2020-10-15 16:25
你见过的木马有不会触发UAC的吗？求开眼界

远控基本都不需要UAC
很多时候都是用一个完整的攻击链来完成,而不是一个简单的exe
典型:APT->MSBuild/WMIC提权(绕过UAC/绕过企业白名单)->写HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender干掉WindowsDefender->APT从Metasploit等远控来源接收实际Rootkit并执行->恶意行为

当然,这些基本都是对企业的很少有人这样对个人因为我做金融业务所以遇到的比较多
https://bbs.kafan.cn/thread-2181276-1-1.html
详见我之前的测试帖里面的三种方法都不会触发UAC 虽然最终没有一种绕过WindowsDefender(因为我太菜,而且在第一步攻击链为了测试安全软件没有选择直接用注册表干掉WD)

龟龟酱 · 发表于 2020-10-15 16:43:56

h20 发表于 2020-10-15 16:25
你见过的木马有不会触发UAC的吗？求开眼界

顺便我在
https://bbs.kafan.cn/thread-2182903-1-1.html
公开的前三个样本就是我那次测试的样本
你可以跑一下(已经无害化,我的远控端测试完之后就关掉了)
因为是FileLess 所以跑完之后重启电脑就会消失

		自动登录	找回密码
密码			注册

怎么怎么当前离线积分 1523	电梯直达 1^# 发表于 2020-10-15 15:45:21 \| 只看该作者 \|倒序浏览 \|阅读模式提示: 作者被禁止或删除内容自动屏蔽
怎么怎么当前离线积分 1523	分享到: QQ好友和群 QQ空间收藏1
	回复举报

h20 h20 当前离线积分 19897	推荐发表于 2020-10-15 15:58:56 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
h20 h20 当前离线积分 19897
	回复支持 1 反对 1 举报

h20 h20 当前离线积分 19897	2^# 发表于 2020-10-15 15:45:44 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
h20 h20 当前离线积分 19897
	回复支持反对举报

怎么怎么当前离线积分 1523	3^# 楼主\| 发表于 2020-10-15 15:47:48 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
怎么怎么当前离线积分 1523
	回复支持反对举报

h20 h20 当前离线积分 19897	8^# 发表于 2020-10-15 16:25:41 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
h20 h20 当前离线积分 19897
	回复支持反对举报

推荐一便携版杀毒软件emsisoft emergency kit

浏览过的版块