现在的免杀远控越来越猖獗了，是不是应该有个通杀的拦截

username1

我觉得远控木马无论免杀做的再好，都有一个缺点，木马要连接软件端，必然走网络。那么直接拦截这个远控的端口就好了吗。

比如我直接一直手动找木马的思路就是：

cmd 运行:netstat -ano  查看网络连接。    tasklist /svc查看进程 带PID值。然后对应找出  可疑的端口 （那肯定就是木马的了 233）

我觉得实现起来应该不会很难   就看这个规则怎么写了。不管你任何木马，免杀有什么用？照样给你揪出来。（我不相信有 那种不需要网络就能控制的木马。）

来大神看看，怎么写一个规则把。我就是提个想法。

pzacker

试试嘛，我这给你一个你试试

abc123cell

远控有的也有数字签名，正常是无法辨别出来的

rouyuanwan

你觉得有规律你就做个规则，火绒盾不够你也可以用别的，然后用用看

huolongguo10

keykylewu 发表于 2022-12-1 08:14
或许可以先获取端口信息，再监控系统和带数字签名的程序连了什么端口，剩下的再从白名单里过滤一下，最后把 ...

你这就叫格杀勿论了
首先，有一些程序就没有签名
其次，远控就不能有数字签名吗

keykylewu

或许可以先获取端口信息，再监控系统和带数字签名的程序连了什么端口，剩下的再从白名单里过滤一下，最后把剩下的都拦截

keykylewu

很费劲，反正写规则肯定实现不了，批处理或许可以

K4NG

tcp协议端口是不是固定的 甚至每次连接端口是变化的 光靠端口特征过滤 想屁吃呢
而且现在也恶意行为的病毒几乎灭绝了 流氓行为的恶意软件倒是比比皆是

Liebeqi

其实对付免杀就看杀毒软件愿不愿意强制杀了!
对免杀通常是多重加壳,其实多重加壳的软件本身就很可疑,完全可以不手下留情直接干掉!
对于不一次启动所有功能的木马病毒之类,完全可以采用黑箱监视,一旦记录下可疑的行为即刻灭掉!
国内的杀毒软件其实太仁慈了,要是向卡巴斯基那样就好了,一旦发现直接干掉,
另外就是缺乏跟踪监视软件行为的黑箱!都是在内存中运行,完全不能保存一个程序所有运行行为,作为下次的对比和整合行为发现可疑就干掉!

mrant

我的想法就是打开火绒系统防护——联网控制——联网设置里面设置阻止。然后只允许必要的exe联刚这样是不是能阻止这种病毒连接网络

test686

通杀是不可能的

lishengjing

如何查看电脑中的文件可疑状态

Hathaway

通过端口识别是不可能的，还有楼主说的ESTABLISHED这个状态，正常软件也有。这种例子在生活中处处都在，就像地铁站会特意竖一个牌子说“此为好人通道”、“此为坏人通道”这种吗？
网络数据未必是明文传输，正常情况下，一名有商业软件开发经验的作者，会将数据经过序列化再做一层加密，那在这个传输过程中再做分析，已经来不及了，这样防的就是中间人攻击。除非有个特定的平台，第一步先做完了解密运算，如果还不是明文，第二步火绒再对解完密后的数据做解码（如果支持的话），最后做一次数据分析就行得通，参考网页防护。
系统本地环境，火绒则借助虚拟化引擎让可执行程序在一个可靠的隔离环境下充分执行，再对其API调用进行监控、分析，以及更复杂的行为跟踪，另一部分依赖动静态启发式算法对某些文件、内存数据做一个决策值，多种手段结合起来，这也是目前主流的安全软件开发的大方向，并不是火绒独此一家，事实上能做到这种程度已经足够了，接下来拼的是金钱和核心开发组的内功高度了。
楼主想的其实也没大错误，个人手动定位的话这算是个很简单的办法，因为你对你系统环境熟悉，但火绒这种To C产品面临的真实环境有多复杂呢，肯定要对用户负责，在安全技术的应用上，技术数量和软件整体质量总是正相关的。
当然，楼主说的if else这肯定会用到。程序里少了控制流就相当于只有hello world了。

化悲痛为力量

插不上嘴都是高手之间的对话

rayhope

不是有库吗？现在的态势感知都是连接解析到某个域名就提示，但是这个库好像不太好做，反正深信服的经常误报

ToumaIndex