瑞星卡卡安全论坛

现在的一些木马都是反向连接的，请问置顶的规则对此有效吗？

应该行吧

呵呵，最好是请做规则的老大来回答才好啊！

我问过了,有效的!

引用:

【嚣张是我本姓的贴子】应该行吧 ...........................

瑞星有MD5校验等功能吗？没有吧
那么如果木马服务端将自己注入到一个可以合法的与外界进行网络通讯的进程(比如 IE, ICQ, OICQ, TELNTED, FTPD, IIS等）的地址空间中，或者以一个新线程的形式运行，或者只是修改宿主进程，截获宿主进程的网络系统调用。
我想这样的木马瑞星应该不行吧

这个问题问得好...高手多发表意见,我们学习...

呵呵，4楼比我问得更详细！我就是问这个，我也觉得瑞星防火墙在这方面是不行的。我现在同时用瑞星和日月光华的防火墙，日月光华防火墙里有个“禁止本地所有对外服务”，在这个包过滤规则下可以拦截到很多瑞星防火墙拦不到的东西，看到有很多的端口在向外连接，但是都被拦截。这样就让我觉得对瑞星防火墙很不放心，所以才有了此问题。

版主呢？可不可以设置这样的规则啊？

网警斑竹 来看看啊

不知道大家有没有注意到每次更新的内容提示,比如“植入####11\00\UPD TEL+++|2215=UPD+TCP\Hjjjss**##反蠕虫\木马特征行为判别码，等等。”，其中的“####11\00\UPD TEL+++|2215=UPD+TCP\Hjjjss**##反蠕虫\木马特征行为判别码”就是以特征行为判别的方式阻截反弹木马和楼主所说的“反向连接”的木马！

基于规则的防火墙本来就没什么强大的
苯，人家要攻击你不会换个不常用的端口吗？
怎么修改规则也只是治标不治本
居然还受到一大群个人崇拜者的顶模观拜
##规则好厉害啊，把木马都拦在外面了
你去打开个木马网页看看能不能拦截
哇，他在不停的报警，都把攻击拦下来了，好厉害啊，你关掉防火墙一天再用你的杀毒软件查查看有没有木马
看看你的电脑受到所谓的攻击有没有事
。。。。。。
无语~~~

呵呵，楼上的说的有理！那按你所说用什么东东才好呢？

引用:

【Brzzz-左岸的贴子】基于规则的防火墙本来就没什么强大的 苯，人家要攻击你不会换个不常用的端口吗？ 怎么修改规则也只是治标不治本 居然还受到一大群个人崇拜者的顶模观拜 ##规则好厉害啊，把木马都拦在外面了 你去打开个木马网页看看能不能拦截 哇，他在不停的报警，都把攻击拦下来了，好厉害啊，你关掉防火墙一天再用你的杀毒软件查查看有没有木马 看看你的电脑受到所谓的攻击有没有事 。。。。。。 无语~~~ ...........................

照你的说法，你家大门根本不用上锁。大门锁了，盗贼窗户进；窗户锁了，墙上打个洞。看来以后这位老兄出门，就不要关门了！

引用:

【adu818的贴子】 照你的说法，你家大门根本不用上锁。大门锁了，盗贼窗户进；窗户锁了，墙上打个洞。看来以后这位老兄出门，就不要关门了！ ...........................

问题不是用不用
我的意思是用了也不用那么夸大宣传瑞#防火墙的效果瑞#防火墙能拦截网页木马这简直放屁
把它说得天花乱坠

难道我说的不是事实吗？

引用:

【Brzzz-左岸的贴子】基于规则的防火墙本来就没什么强大的 苯，人家要攻击你不会换个不常用的端口吗？ 怎么修改规则也只是治标不治本 居然还受到一大群个人崇拜者的顶模观拜 ##规则好厉害啊，把木马都拦在外面了 你去打开个木马网页看看能不能拦截 哇，他在不停的报警，都把攻击拦下来了，好厉害啊，你关掉防火墙一天再用你的杀毒软件查查看有没有木马 看看你的电脑受到所谓的攻击有没有事 。。。。。。 无语~~~ ...........................

错！
请你认识清楚什么叫“特征行为”判别！
尽管各类防火墙都有不同的功能组件以及相应的拦截方式，但“特征行为”是防火墙的发展趋势，在目前情况下，规则+“特征判别”是各种防火墙采用的方式！就是有“防火墙之父”美誉的ZA也是采用这种方式。

引用:

【太阳还会升起的贴子】 瑞星有MD5校验等功能吗？没有吧 那么如果木马服务端将自己注入到一个可以合法的与外界进行网络通讯的进程(比如 IE, ICQ, OICQ, TELNTED, FTPD, IIS等）的地址空间中，或者以一个新线程的形式运行，或者只是修改宿主进程，截获宿主进程的网络系统调用。 我想这样的木马瑞星应该不行吧 ...........................

外行菜鸟说内行话！
有本事你把什么是“####11\00\UPD TEL+++|2215=UPD+TCP\Hjjjss**##”说明一下吧，呵呵！

引用:

【春林的贴子】 错！ 请你认识清楚什么叫“特征行为”判别！ 尽管各类防火墙都有不同的功能组件以及相应的拦截方式，但“特征行为”是防火墙的发展趋势，在目前情况下，规则+“特征判别”是各种防火墙采用的方式！就是有“防火墙之父”美誉的ZA也是采用这种方式。 ...........................

你更错
不知道我说的是瑞星防火墙吗？
也妄和za相比较

引用:

【Brzzz-左岸的贴子】 问题不是用不用 我的意思是用了也不用那么夸大宣传瑞#防火墙的效果瑞#防火墙能拦截网页木马这简直放屁 把它说得天花乱坠 难道我说的不是事实吗？ 请问：谁夸大了？谁把它说得天花乱坠了？？ 象你这样满口脏话的，不会是什么高手！人品也有问题！！ ...........................

引用:

【春人的贴子】 引用: 【Brzzz-左岸的贴子】 问题不是用不用 我的意思是用了也不用那么夸大宣传瑞#防火墙的效果瑞#防火墙能拦截网页木马这简直放屁 把它说得天花乱坠 难道我说的不是事实吗？ 请问：谁夸大了？谁把它说得天花乱坠了？？ 象你这样满口脏话的，不会是什么高手！人品也有问题！！ 你们简直是误人子弟，对这种人，说话那么委婉干吗？ 你敢说不是夸大吗？ 居然能拦木马网页？ 你打开这个http://www.sg51.com/qq/qq.htm 看看你的瑞星防火墙能否拦截。 ........................... ...........................

还有脸说没有夸大

晕，各位老大，心平气和地来讨论这个事情吧！不过还真是学习了不少东西。希望有更多高手来指点指点！

引用:

【青瘦竹的贴子】晕，各位老大，心平气和地来讨论这个事情吧！不过还真是学习了不少东西。希望有更多高手来指点指点！ ...........................

呵呵
不是不想心平气和


只不过对于在这里只能说好话而排挤批评的作风感到十分厌恶兼恶心

引用:

【taiying的贴子】 外行菜鸟说内行话！ 有本事你把什么是“####11\00\UPD TEL+++|2215=UPD+TCP\Hjjjss**##”说明一下吧，呵呵！ ...........................

人家已经说得很明白了
md5验证都没有
你不用辩护

呵呵，楼上的真是快人快语！你的性格我喜欢！也挺幽默！

引用:

【Brzzz-左岸的贴子】 人家已经说得很明白了 md5验证都没有 你不用辩护 ...........................

胡说！
怎么不能拦截？！

附件: 562653200581691806.jpg

引用:

【春林的贴子】 胡说！ 怎么不能拦截？！ ...........................

汗，这~~~~~~
你晓得md5是什么哦？

【回复“Brzzz-左岸”的帖子】为验证起见，我先是退出了所有的杀软，只用瑞星防火墙（加载了网警、寿宁的规则包），但瑞星防火墙马上柩拦截并报警了（如24楼的图）！随后，我又打开了杀软，但杀软也报警并拒绝这个网站运行！
经分析这个网页里的木马（严格说应该属于蠕虫类病毒），杀软就可以拦截，但有这个木马（蠕虫）相对来说比较强大，在被杀软拒绝运行时，还会借助134-139、444局域网常用端口通道进行感染（传播），在其欲通过这些通道感染（传播）时，瑞星防火墙也马上阻截并报警。
如图：

附件: 562653200581693419.jpg

昨天我出差回来怎么这么多事情？？？
春林是寿宁的助手，是这个规则的编写人之一！
表面你看到这个规则拦截WEB木马就一条
但是这是你看得到的
你看不到的是内置的80多条特征判别码
我们采用基于blowfish16轮448位的加密！
寿宁将blowfish算法加以修改，形成自己的算法
目前这个算法无人破解
楼上那位Brzzz-左岸老兄有没有能力破解啊？
看不到的东西多着呢
仅凭看到的东西就下结论是不是有点过于自信啊

【回复“春林”的帖子】防到的都是墙认识的，那不认识的呢？毕竟防火墙功能有限，的确不能太过于夸大，否则只会害了别人~~~~~~~~

【回复“19861013”的帖子】
这个规则包应该是属于大家的，我们也没有做任何的夸大其辞，我们只希望有更多的意见反馈给我们，也只有这样，规则包才会越来越好地为大家服务，难道不是吗？