瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【实例】用SSM对付狡猾木马

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 12 页

跳转页

【实例】用SSM对付狡猾木马

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-25 19:00 \| 短消息资料字号：小中大 11楼 SSM好像在玩我们...... 原来的SSM还显示API函数的具体调用.现在却不见了,取而代之的是"DLL注入""试图终止"等词语.单单说DLL注入的方法就有好几种: 挂钩GETMASSAGE注入,CreateRemoteThread注入,可是在新版SSM中却体现不出来... PS: 是不是只有注册版才可以看出来啊??
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-25 19:03 \| 短消息资料字号：小中大 12楼这个木马已经不是盲目地,每秒写一个启动项了.. 试验:用IceSword删除启动项,连SSM都觉察不出来.
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

122211231 锋芒艾服狮帖子:1262 注册: 2006-06-02 来自:	发表于： 2006-08-25 19:04 \| 短消息资料字号：小中大 13楼 LZ给个SSM的下载地址吧
122211231 锋芒艾服狮帖子:1262 注册: 2006-06-02 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-08-25 19:05 \| 短消息资料字号：小中大 14楼 syssafety.com
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

大版主

发表于： 2006-08-25 19:53 | 只看楼主 短消息资料

字号：小中大 17楼

引用:

【122211231的贴子】LZ给个SSM的下载地址吧
………………

http://www.syssafety.com/files.html

大版主

发表于： 2006-08-25 20:28 | 只看楼主 短消息资料

字号：小中大 18楼

引用:

【闪电风暴的贴子】这个木马已经不是盲目地,每秒写一个启动项了..

试验:用IceSword删除启动项,连SSM都觉察不出来.
………………

SSM并非监控整个注册表。比如，你想让SSM监控HKEY_CLASS_ROOT\CLSID，当删除CLSID中的任意一个键值时，SSM提示用户。那么你可以自己添加一条这样的规则（图）。

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-08-25 20:29 \| 只看楼主短消息资料字号：小中大 19楼引用: 【闪电风暴的贴子】这个木马已经不是盲目地,每秒写一个启动项了.. 试验:用IceSword删除启动项,连SSM都觉察不出来. 检验该规则的效果—— 附件: 文件名:1558472006825202137.jpg 下载次数:273 文件类型:image/pjpeg 文件大小: 上传时间:2006-8-25 20:29:34 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

2 / 12 页

跳转页