wecooperate
commented
1 day ago - 篡改进程(colorcpl.exe )内存的行为 这个因为一些条件被过滤掉了,后面恢复加上检测
- 这个进程是通过shell接口让explorer发起的,具体怎么触发后面看能不能检测
-
Open UnknownOooo opened 1 day ago
wecooperate
commented
1 day ago
冰盾似乎无法检测该样本篡改进程(colorcpl.exe )内存的行为
此外该样本似乎也绕过了冰盾自带的父进程欺骗检测?(此进程不应由explorer.exe启动)
样本(解压密码infected):https://wwjw.lanzouq.com/iu3IW2fgzape