此毒好阴损!!!(最好高手来分析下此毒的动作) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛此毒好阴损!!!(最好高手来分析下此毒的动作)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十六次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

3 / 7 页

跳转页

[求助] 此毒好阴损!!!(最好高手来分析下此毒的动作)

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:22 \| 只看楼主短消息资料字号：小中大 21楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) C:\windows\system32\00053d8a.ini（随机名）这个是固定名字不是随机的
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:25 \| 只看楼主短消息资料字号：小中大 22楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 在HKLM\System\CurrentControlSet\Services\分支添加： ovtjkk。而此ovtjkk\Parameters\\ServiceDll指向C:\windows\system32\bzdohe.dll 开启一个svchost.exe进程，那个病毒dll就活了。根据这样的话这个DLL是因为注册表的改写直接加载的?而不是注入的但是病毒是否后门会启动一个svchost?? 如果是,它还是直接启动了并跳过了我的规则
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-02-04 14:29 \| 短消息资料字号：小中大 23楼回复：此毒好阴损!!!(最好高手来分析下此毒的动作) 看了阳光的就知道原因了因为过程就是由services.exe完成的所以瑞星杀毒软件是难以判断的因为它默认白名单那里是自动放过签名程序的而系统的东西它都是默认可以做事的所以你靠瑞星的监控自然发现不了了你取消自动放过签名程序试试
天月来了版主帖子:76904 注册: 2007-02-06 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-02-04 14:31 \| 短消息资料字号：小中大 24楼回复：此毒好阴损!!!(最好高手来分析下此毒的动作) 要知道系统的东西必须可以任意做事，如果不能，就要死定了所以任何监控都难以达到完美的唯一最好的办法，是一开始就不让那病毒程序运行一旦运行开始执行什么，那么就有可能阻止不了
天月来了版主帖子:76904 注册: 2007-02-06 来自:

随缘92WJC 横据古稀狮帖子:12667 注册: 2009-01-13 来自:	发表于： 2009-02-04 14:32 \| 短消息资料字号：小中大 25楼回复：此毒好阴损!!!(最好高手来分析下此毒的动作) 会增加一个svchost进程服务名称：ovtjkk 显示名称：ovtjkk 描述：Microsoft .NET Framework TPM 可执行文件路径C:\WINDOWS\system32\svchost.exe -k ovtjkk 启动类型自动，服务状态已启动启动类型无法更改，无法停止服务，这是系统服务里查到的
随缘92WJC 横据古稀狮帖子:12667 注册: 2009-01-13 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:32 \| 只看楼主短消息资料字号：小中大 26楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 放过签名程序我本来就是取消了的主要是它调用服务管理器加载服务一般看了就允许了如果我不是知道是测病毒估计也被它忽悠;了
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:35 \| 只看楼主短消息资料字号：小中大 27楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由天月来了于 2009-2-4 14:31:00 发表要知道系统的东西必须可以任意做事，如果不能，就要死定了所以任何监控都难以达到完美的唯一最好的办法，是一开始就不让那病毒程序运行一旦运行开始执行什么，那么就有可能阻止不了如果我没记错的话木马调用服务管理器不是新花样很早就有了
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-02-04 14:36 \| 短消息资料字号：小中大 28楼回复：此毒好阴损!!!(最好高手来分析下此毒的动作) 那个ms.exe只是注册了个服务没干别的其他的一些注入的动作是启动那个服务后由svchost.exe这个宿主做的注入动作使用的函数应该是SetWindowsHookEx 你试试用窗口挂钩那个API 窗口挂钩主文件类型数值等于2
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:39 \| 只看楼主短消息资料字号：小中大 29楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 说到点子上了你看看短消息我问了你什么
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-02-04 14:42 \| 短消息资料字号：小中大 30楼回复 27F SpeW 的帖子和很早就有没什么关系而是任何安全软件不能将和正常软件行为一样的程序行为都拿来提示那样用户会气死的这付费的软件和免费的360类软件不一样 360类软件疯狂提示正常行为，用户也急不出什么名堂的但是瑞星软件如果默认提示这类正常软件可能也有的程序行为的话那就死定了
天月来了版主帖子:76904 注册: 2007-02-06 来自:

<<上一主题|下一主题>>

3 / 7 页

跳转页

页面顶部

Powered by Discuz!NT