本帖最后由 新手107995 于 2020-9-9 04:23 编辑
场景:POC测试环境,测试步骤到病毒变种——对病毒样本查杀、加壳第一次查杀、加壳第二次查杀EDR版本:3.2.21 病毒样本:gandcrap5.0.3_sangfor 加壳工具:VMP
加壳第一次,与对加壳第二次进行MD5校验,确认都是“变种”过后的病毒
针对第一次加壳,可以校验出病毒是“变种”,并且被正常处置
但是针对第二次加壳的病毒,则无法查杀,将病毒样本反馈给某公司进行确认
某公司回复:0825以后的病毒规则库是可以进行检验出二次加壳的病毒
总结一下:网络安全日新月异,每一天甚至每一秒都有可能有新病毒在诞生,不管源是否相同,都是不可预测的,必须依赖于强大的云后台协助分析并实时防护,不管什么厂商、产品,涉及安全的内容一定要紧跟现状
EDR建议保持联网状态,或者不许联网的也要定期进行规则库的更新、版本的更新(稳定情况下),才能保证有足够的安全能力抵挡新的风险
这也给了我们一个通用的思路,使用某公司产品处理问题时,无论是EDR还是AC、AF……在策略、处置不生效时,可以查看下对应的规则库是否为最新版本 |