此毒好阴损!!!(最好高手来分析下此毒的动作) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛此毒好阴损!!!(最好高手来分析下此毒的动作)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十六次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

4 / 7 页

跳转页

[求助] 此毒好阴损!!!(最好高手来分析下此毒的动作)

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:43 \| 只看楼主短消息资料字号：小中大 31楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 不过好像我记得是挂了全局钩子系统动作有拦截相关程序是svchost
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:44 \| 只看楼主短消息资料字号：小中大 32楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由天月来了于 2009-2-4 14:42:00 发表和很早就有没什么关系而是任何安全软件不能将和正常软件行为一样的程序行为都拿来提示那样用户会气死的这付费的软件和免费的360类软件不一样 360类软件疯狂提示正常行为，用户也急不出什么名堂的但是瑞星软件如果默认提示这类正常软件可能也有的程序行为的话那就死定了呵呵 ........ 瑞星也提示了哦说是services创建注册表项
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-02-04 14:45 \| 短消息资料字号：小中大 33楼回复 31F SpeW 的帖子你设置杀毒软件监控svchost.exe的启动试试看什么东西要再启动一个svchost.exe的进程
天月来了版主帖子:76904 注册: 2007-02-06 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-02-04 14:46 \| 短消息资料字号：小中大 34楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由天月来了于 2009-2-4 14:29:00 发表看了阳光的就知道原因了因为过程就是由services.exe完成的所以瑞星杀毒软件是难以判断的因为它默认白名单那里是自动放过签名程序的而系统的东西它都是默认可以做事的所以你靠瑞星的监控自然...... 不是那么回事我说的意思是 ”创建服务“ 本身就是由services.exe做的这不是病毒为了躲避杀软而调用services.exe 而是创建服务时候正常的动作！由于系统加固默认根本没有监控创建服务的行为勾选上系统加固中的 ”服务“就可以监控到了这也不是什么签名程序的问题 ~~~~
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:48 \| 只看楼主短消息资料字号：小中大 35楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由 newcenturymoon 于 2009-2-4 14:46:00 发表引用: 原帖由天月来了于 2009-2-4 14:29:00 发表看了阳光的就知道原因了因为过程就是由services.exe完成的所以瑞星杀毒软件是难以判断的因为它默认白名单那里是自动放过签名程序的而系统的东西它都是默认可以做事的所以你靠瑞星的监控自然...... 不是那么回事我说的意思是 ”创正因为如此我才觉得木马编辑器出漏洞了这个动作监控不到
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-02-04 14:50 \| 短消息资料字号：小中大 36楼回复 34F newcenturymoon 的帖子还是我一直说的瑞星默认的东西就是为了防止对正常软件行为也提示，才默认不监控那里你如果改成默认和卡巴以及360那样，见一个提示一个，或者默认就是系统加固那最高，就全提示了
天月来了版主帖子:76904 注册: 2007-02-06 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-02-04 14:50 \| 短消息资料字号：小中大 37楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由 SpeW 于 2009-2-4 14:43:00 发表不过好像我记得是挂了全局钩子系统动作有拦截相关程序是svchost 因为他调用的就是SetWindowsHookEx 当dwThreadId 那个参数为0时就是挂全局钩子所以理论上木马行为编辑器的设置窗口挂钩也能监控到
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:52 \| 只看楼主短消息资料字号：小中大 38楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由天月来了于 2009-2-4 14:45:00 发表你设置杀毒软件监控svchost.exe的启动试试看什么东西要再启动一个svchost.exe的进程知道是谁了 srevice启动了svchost 难到编辑器里编辑后门启动svchost对services是无效的?
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-02-04 14:54 \| 短消息资料字号：小中大 39楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由 SpeW 于 2009-2-4 14:48:00 发表 [quote] 原帖由 newcenturymoon 于 2009-2-4 14:46:00 发表 [quote] 原帖由天月来了于 2009-2-4 14:29:00 发表看了阳光的就知道原因了因为过程就是由services.exe完成的所以瑞星杀毒软件是难以判断的因为它默认白名单那里是自动放过签名程序的而系统的东西它什么漏洞？？？？
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-02-04 14:56 \| 短消息资料字号：小中大 40楼回复 38F SpeW 的帖子这你得问阳光自己了我还没玩过那个编辑器你是不是还没点击“将记录用于木马行为防御”？？
天月来了版主帖子:76904 注册: 2007-02-06 来自:

<<上一主题|下一主题>>

4 / 7 页

跳转页

页面顶部

Powered by Discuz!NT