瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】由猫叔手中Tiny想到的HIPS

123456   2  /  6  页   跳转

【原创】由猫叔手中Tiny想到的HIPS

收藏
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-05-28 20:59 | 短消息 资料
字号: 11楼

正想问呢,我在规则里禁止explorer.exe强迫终止,然后我打开记事本,再关掉
提示:
动作:禁止
应用程序:explorer.exe
访问:Forced process/thread termination
目标:SendNotifyMessageA(Message=WM_CLOSE,Handle=0xC03EC)
时间:2007-5-28 20:43:36
可是记事本还是被关掉了。。
但在AMON的进程列表里还有,这是怎么回事呢?

附件附件:

下载次数:207
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-28 20:59:50
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-28 21:14 | 短消息 资料
字号: 12楼

引用:
【loveperday的贴子】正想问呢,我在规则里禁止explorer.exe强迫终止,然后我打开记事本,再关掉
提示:
动作:禁止
应用程序:explorer.exe
访问:Forced process/thread termination
目标:SendNotifyMessageA(Message=WM_CLOSE,Handle=0xC03EC)
时间:2007-5-28 20:43:36
可是记事本还是被关掉了。。
但在AMON的进程列表里还有,这是怎么回事呢?

………………

你这个不叫“强迫进程终止”吧。那叫“用户关闭程序”
你用WINDOWS任务管理结束一下notepad——————

附件附件:

下载次数:229
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-28 21:14:59
描述:
预览信息:EXIF信息
gototop
 
hotboy
头像
社区嘉宾
  • 帖子:27670
  • 注册: 2002-02-01
  • 来自:东厂
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念冰激凌十周年
发表于: 2007-05-28 21:42 | 短消息 资料
字号: 13楼

可惜tiny(包括ca)没有磁盘底层保护,防不住猪3等东东,像baobao说的,还需要ssm的协防,ssm的ad+tiny的rdfd。
说到冰刃,这家伙太凶了
sns破解难,eq这东东本身架构就有问题
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-28 21:43 | 短消息 资料
字号: 14楼

引用:
【hotboy的贴子】可惜tiny(包括ca)没有磁盘底层保护,防不住猪3等东东,像baobao说的,还需要ssm的协防,ssm的ad+tiny的rdfd。
说到冰刃,这家伙太凶了
………………

老大!
你玩儿“猪3”了?
没事吧?
gototop
 
hotboy
头像
社区嘉宾
  • 帖子:27670
  • 注册: 2002-02-01
  • 来自:东厂
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念冰激凌十周年
发表于: 2007-05-28 21:45 | 短消息 资料
字号: 15楼

引用:
【baohe的贴子】
老大!
你玩儿“猪3”了?
没事吧?

………………

还活着,有惊无险,差点你就要给我烧纸了
gototop
 
神圣复仇者
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2006-08-29
  • 来自:
发表于: 2007-05-28 21:47 | 短消息 资料
字号: 16楼

用ssm一段时间了,感觉不错
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-05-28 21:48 | 短消息 资料
字号: 17楼

========Content========
其实猫叔,我的疑问是:
咱们平时启动程序,关闭程序,程序的执行者不都是explorer么?那么“用户关闭程序”不就是应该explorer结束程序么?
规则中的“强迫”应该如何理解呢?我们观察病毒时,病毒试图结束杀软进程,那他的执行者有可能是explorer么?
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-05-28 21:49 | 短消息 资料
字号: 18楼

嘛是猪3啊。。。。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-28 21:50 | 短消息 资料
字号: 19楼

引用:
【hotboy的贴子】
还活着,有惊无险,差点你就要给我烧纸了
………………

烧纸?
不会。
那东东,即使实机运行了,也有办法。用Diskman重建分区表。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-28 21:52 | 短消息 资料
字号: 20楼

引用:
【loveperday的贴子】========Content========
其实猫叔,我的疑问是:
咱们平时启动程序,关闭程序,程序的执行者不都是explorer么?那么“用户关闭程序”不就是应该explorer结束程序么?
规则中的“强迫”应该如何理解呢?我们观察病毒时,病毒试图结束杀软进程,那他的执行者有可能是explorer么?
………………

病毒杀死进程的手段————多了。俺也说不清(非专业啊!)
我遇到的有:病毒通过net.exe和net1.exe关闭杀软。
gototop
 
<<上一主题|下一主题>>
123456   2  /  6  页   跳转
页面顶部
Powered by Discuz!NT