此毒好阴损!!!(最好高手来分析下此毒的动作) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛此毒好阴损!!!(最好高手来分析下此毒的动作)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十六次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

5 / 7 页

跳转页

[求助] 此毒好阴损!!!(最好高手来分析下此毒的动作)

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:56 \| 只看楼主短消息资料字号：小中大 41楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 这个我已经去学习了一反了 iHook为某某的是后就是键盘或者消息什么的对吧 ? SpeW 最后编辑于 2009-02-04 15:02:09
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:57 \| 只看楼主短消息资料字号：小中大 42楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由 newcenturymoon 于 2009-2-4 14:54:00 发表 [quote] 原帖由 SpeW 于 2009-2-4 14:48:00 发表 [quote] 原帖由 newcenturymoon 于 2009-2-4 14:46:00 发表 [quote] 原帖由天月来了于 2009-2-4 14:29:00 发表看了阳光的就知道原因...... 那个注册表的改动监控不到不是ms.exe做的
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 14:59 \| 只看楼主短消息资料字号：小中大 43楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由天月来了于 2009-2-4 14:56:00 发表这你得问阳光自己了我还没玩过那个编辑器你是不是还没点击“将记录用于木马行为防御”？？不用这么小看我吧
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-02-04 15:04 \| 短消息资料字号：小中大 44楼回复：此毒好阴损!!!(最好高手来分析下此毒的动作) idHook 就是编辑器里面的钩子类型对应的选项
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 15:07 \| 只看楼主短消息资料字号：小中大 45楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 知道是谁了 srevice启动了svchost 难到编辑器里编辑后门启动svchost对services是无效的? 注册表改动不是ms.exe做的监控不到(编辑器漏洞) 这两个问题回答下吧 SpeW 最后编辑于 2009-02-04 15:15:12
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-02-04 15:18 \| 短消息资料字号：小中大 46楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 没看出这个病毒和其他病毒有太多的区别，都是创建服务，挂钩子，往SYSTEM32里创建文件。只要管理好SYSTEM32和注册表服务项，它就掀不起多大风浪。在系统加固里勾选系统目录和服务提示，大部分病毒都能报警。唯一难解决的是下载程序安装包带毒。要是每一个提示都看清楚再选择放行还是拒绝估计没有几个人受得了。这谈不上是瑞星的不是，任何HIPS都难以解决下载程序包带毒。只有在知名大网站下载，用杀软扫描（防不了未知病毒）。要解决下载程序带毒看来只有用虚拟机或者沙盘了。
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 15:21 \| 只看楼主短消息资料字号：小中大 47楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由 rstgl 于 2009-2-4 15:18:00 发表没看出这个病毒和其他病毒有太多的区别，都是创建服务，挂钩子，往SYSTEM32里创建文件。只要管理好SYSTEM32和注册表服务项，它就掀不起多大风浪。在系统加固里勾选系统目录和服务提示，大部分病毒都能报警。唯一难解决的是下载程序安装包带毒。要是每一个提示都看清楚再选择放行还是拒绝估计没有几个人受得了。这谈不上是瑞星的不是，任何HIPS都难以解决下载程序包带毒。只有在知名大网站下载，用杀软扫描（防你那个问题绝大部分都是用外挂用出毒来的很多人就这样没办法明知道有毒就要用
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-02-04 15:31 \| 短消息资料字号：小中大 48楼回复：此毒好阴损!!!(最好高手来分析下此毒的动作) 唉我反正还是没折腾出木马行为防御的个人自定义操作实在吃不消
天月来了版主帖子:76904 注册: 2007-02-06 来自:

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-02-04 15:35 \| 短消息资料字号：小中大 49楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 任何程序包括病毒创建服务都是调用SERVICES。所以你看到瑞星提示SERVICES创建服务时就应该警觉。除非你此时在安装信得过的程序否则应该选择拒绝。我知道你是希望瑞星能明确告诉你是谁调用SERVICES注册服务，但这是瑞星做不到的。瑞星的服务还是SERVICES加载的呢。下级能监控上级吗？不信你在应用程序控制里添加SERVICES被启动提示或者放过看看是什么程序启动了SERVICES。能看到吗？看不到。无法监控是什么程序启动SERVICES。
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 15:36 \| 只看楼主短消息资料字号：小中大 50楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由天月来了于 2009-2-4 15:31:00 发表唉我反正还是没折腾出木马行为防御的个人自定义操作实在吃不消 http://bbs.ikaka.com/showtopic-8559804.aspx 看看这篇帖做参考其实没什么就是知道病毒会做什么动作,然后照葫芦画瓢,把动作编成规则就行了 http://bbs.ikaka.com/showtopic-8591420.aspx这是我编的规则你也可以参考一下
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

<<上一主题|下一主题>>

5 / 7 页

跳转页

页面顶部

Powered by Discuz!NT