火绒安全软件

标题: 现在的免杀远控越来越猖獗了，是不是应该有个通杀的拦截 [打印本页]

作者: username1 时间: 2021-2-24 20:43
标题: 现在的免杀远控越来越猖獗了，是不是应该有个通杀的拦截
我觉得远控木马无论免杀做的再好，都有一个缺点，木马要连接软件端，必然走网络。那么直接拦截这个远控的端口就好了吗。

比如我直接一直手动找木马的思路就是：

cmd 运行:netstat -ano 查看网络连接。 tasklist /svc查看进程带PID值。然后对应找出可疑的端口（那肯定就是木马的了 233）

我觉得实现起来应该不会很难就看这个规则怎么写了。不管你任何木马，免杀有什么用？照样给你揪出来。（我不相信有那种不需要网络就能控制的木马。）

来大神看看，怎么写一个规则把。我就是提个想法。

作者: huolongguo10 时间: 2021-2-25 14:18
谁知道哪个端口是远控呢

作者: username1 时间: 2021-2-25 15:38

huolongguo10 发表于 2021-2-25 14:18
谁知道哪个端口是远控呢

这个就看规则怎么判断了。我记得远控木马都是 ESTABLISHED 状态的。

作者: huolongguo10 时间: 2021-2-25 16:04

username1 发表于 2021-2-25 15:38
这个就看规则怎么判断了。我记得远控木马都是 ESTABLISHED 状态的。

正常软件也是这个状态，，，可以靠远程服务器来判断

作者: username1 时间: 2021-2-25 17:38
来个大佬，写一下吧。即使他木马再免杀又如何，分分钟给他规则掉。

作者: huolongguo10 时间: 2021-2-26 11:30

username1 发表于 2021-2-25 17:38
来个大佬，写一下吧。即使他木马再免杀又如何，分分钟给他规则掉。

几乎不可能，端口都是随机的，报文还是加密的。。。

作者: username1 时间: 2021-2-26 15:46

huolongguo10 发表于 2021-2-26 11:30
几乎不可能，端口都是随机的，报文还是加密的。。。

首先就是端口，一般远控默认使用的都是8000 或者以年份来设置的，比如2012 2019 ，然后我感觉真的不必探测端口流量的内容，直接就是写个规则，判断这个端口进程是不是很可疑的。反正我感觉可行。

作者: huolongguo10 时间: 2021-2-26 16:29
8000也是http端口，有人用52，有人用4444，还有人用9090，至于我，随机选端口

作者: username1 时间: 2021-2-26 17:37

huolongguo10 发表于 2021-2-26 16:29
8000也是http端口，有人用52，有人用4444，还有人用9090，至于我，随机选端口

怎么就你一个人回复我。。。

作者: wing-summer 时间: 2021-2-26 20:57
这玩意还是比较专业的，我没有研究过网络这方面，像我不了解的是不会接话茬的，并且自我感觉论坛的活跃用户不多。

作者: username1 时间: 2021-2-27 07:52
先写个批处理脚本，压压惊
@echo off
netstat -ano > 端口.txt
tasklist /svc > 进程.txt

作者: www. 时间: 2021-2-27 15:19
哪有完美的，你认为这个端口疑似远控，还不是得靠猜，而一般杀软为了解决误报的问题，也不敢随便乱猜

作者: huolongguo10 时间: 2021-2-27 15:41

username1 发表于 2021-2-27 07:52
先写个批处理脚本，压压惊
@echo off
netstat -ano > 端口.txt

有个人叫echo

作者: username1 时间: 2021-2-28 08:06
不是去猜，是通过一定严谨的逻辑判断 if else 各种规则去过滤去筛选，我这个思路可行的，真的，就看那个大佬来写一下了

作者: 云在天 时间: 2021-9-10 23:36
意义何在呢？只要监控软件行为就好了，远控就是监控屏幕，监控文件，或者挖矿之类的危险行为，只要防住了这些行为，就行了

作者: ToumaIndex 时间: 2021-10-6 10:07

作者: rayhope 时间: 2021-10-18 10:07
不是有库吗？现在的态势感知都是连接解析到某个域名就提示，但是这个库好像不太好做，反正深信服的经常误报

作者: 化悲痛为力量 时间: 2021-11-20 16:47
插不上嘴都是高手之间的对话

作者: Hathaway 时间: 2021-11-27 02:23
通过端口识别是不可能的，还有楼主说的ESTABLISHED这个状态，正常软件也有。这种例子在生活中处处都在，就像地铁站会特意竖一个牌子说“此为好人通道”、“此为坏人通道”这种吗？
网络数据未必是明文传输，正常情况下，一名有商业软件开发经验的作者，会将数据经过序列化再做一层加密，那在这个传输过程中再做分析，已经来不及了，这样防的就是中间人攻击。除非有个特定的平台，第一步先做完了解密运算，如果还不是明文，第二步火绒再对解完密后的数据做解码（如果支持的话），最后做一次数据分析就行得通，参考网页防护。
系统本地环境，火绒则借助虚拟化引擎让可执行程序在一个可靠的隔离环境下充分执行，再对其API调用进行监控、分析，以及更复杂的行为跟踪，另一部分依赖动静态启发式算法对某些文件、内存数据做一个决策值，多种手段结合起来，这也是目前主流的安全软件开发的大方向，并不是火绒独此一家，事实上能做到这种程度已经足够了，接下来拼的是金钱和核心开发组的内功高度了。
楼主想的其实也没大错误，个人手动定位的话这算是个很简单的办法，因为你对你系统环境熟悉，但火绒这种To C产品面临的真实环境有多复杂呢，肯定要对用户负责，在安全技术的应用上，技术数量和软件整体质量总是正相关的。
当然，楼主说的if else这肯定会用到。程序里少了控制流就相当于只有hello world了。

作者: lishengjing 时间: 2022-2-24 11:38
如何查看电脑中的文件可疑状态

作者: test686 时间: 2022-2-25 12:53
通杀是不可能的

作者: mrant 时间: 2022-9-15 16:35
我的想法就是打开火绒系统防护——联网控制——联网设置里面设置阻止。然后只允许必要的exe联刚这样是不是能阻止这种病毒连接网络

作者: Liebeqi 时间: 2022-9-19 18:51
其实对付免杀就看杀毒软件愿不愿意强制杀了!
对免杀通常是多重加壳,其实多重加壳的软件本身就很可疑,完全可以不手下留情直接干掉!
对于不一次启动所有功能的木马病毒之类,完全可以采用黑箱监视,一旦记录下可疑的行为即刻灭掉!
国内的杀毒软件其实太仁慈了,要是向卡巴斯基那样就好了,一旦发现直接干掉,
另外就是缺乏跟踪监视软件行为的黑箱!都是在内存中运行,完全不能保存一个程序所有运行行为,作为下次的对比和整合行为发现可疑就干掉!

作者: K4NG 时间: 2022-9-24 08:09
tcp协议端口是不是固定的甚至每次连接端口是变化的光靠端口特征过滤想屁吃呢

而且现在也恶意行为的病毒几乎灭绝了流氓行为的恶意软件倒是比比皆是

作者: keykylewu 时间: 2022-12-1 08:11
很费劲，反正写规则肯定实现不了，批处理或许可以

作者: keykylewu 时间: 2022-12-1 08:14
或许可以先获取端口信息，再监控系统和带数字签名的程序连了什么端口，剩下的再从白名单里过滤一下，最后把剩下的都拦截

作者: huolongguo10 时间: 2022-12-1 08:46

keykylewu 发表于 2022-12-1 08:14
或许可以先获取端口信息，再监控系统和带数字签名的程序连了什么端口，剩下的再从白名单里过滤一下，最后把 ...

你这就叫格杀勿论了
首先，有一些程序就没有签名
其次，远控就不能有数字签名吗

作者: rouyuanwan 时间: 2022-12-8 12:56
你觉得有规律你就做个规则，火绒盾不够你也可以用别的，然后用用看

作者: abc123cell 时间: 2022-12-8 15:04
远控有的也有数字签名，正常是无法辨别出来的

作者: pzacker 时间: 2023-3-9 20:18
试试嘛，我这给你一个你试试

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)