地区性 - 2007-3-3 20:20:00
1.用SSM杀毒,如果我没理解错的话,是找到病毒进程,移至Block组,再删了病毒文件,可是如果病毒启动了,没来得及编辑规则,就对注册表狂改,狂删文件,怎么办?
2.怎样显示被病毒修改的这册表项?
3.对于带驱动的木马,怎能分清哪个是木马创建的驱动?
附件:
480315200733201106.jpg
地区性 - 2007-3-3 20:40:00
没人知道么?55555555555555555555~~~
两个铁球 - 2007-3-3 22:21:00
菜鸟我试着解解,对错地区性大哥都别介意。
对于第一项,已经被毒改了注册表,可能只能借别的工具来发现、改回了吧。另外SSM有个日志,不知它会不会做出记载(我的日志一直不能用,为此郁闷.(这说似已涵盖第2条)。第3,好像只能凭经验,在进程里面看线程、看模块、还比较MD5了吧。还有那个内存写入什么的,大概高手、内行有用。
要是SSM能自动把这些异常用反色显示多好!
mopery - 2007-3-3 22:30:00
可以查看日志..
无过ssm 拦下的东西 可能没那么多..
应该不全..
地区性 - 2007-3-4 21:44:00
我试过一个叫“壁纸中心”的恶意软件,可日志里没记录在开始菜单处的注册表修改
附件:
480315200734213457.jpg
地区性 - 2007-3-4 21:45:00
对了,mopery你们是用Tiny看病毒修改的注册表项吗?
baohe - 2007-3-4 22:10:00
| 引用: |
【地区性的贴子】我试过一个叫“壁纸中心”的恶意软件,可日志里没记录在开始菜单处的注册表修改
……………… |
6楼的问题————SSM注册表监控设置问题。
如果要满足你的要求,请按下图设置:
附件:
155847200734220035.jpg
baohe - 2007-3-4 22:16:00
| 引用: |
【地区性的贴子】1.用SSM杀毒,如果我没理解错的话,是找到病毒进程,移至Block组,再删了病毒文件,可是如果病毒启动了,没来得及编辑规则,就对注册表狂改,狂删文件,怎么办?
2.怎样显示被病毒修改的这册表项?
3.对于带驱动的木马,怎能分清哪个是木马创建的驱动?
……………… |
1、SSM可以提示任何未建立规则而要加载的进程,如果设置正确,SSM也可以终止大多数病毒进程。至于已经被病毒删除的文件,SSM无能为力。
2、见8楼回复。
3、多数情况,SSM会提示.sys加载(注意看对话框内容)。如果你按下图设置了日志记录内容,在日志中应该也能看到相应内容。
附件:
155847200734220728.jpg
© 2000 - 2026 Rising Corp. Ltd.