此毒好阴损!!!(最好高手来分析下此毒的动作) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛此毒好阴损!!!(最好高手来分析下此毒的动作)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 2 3 4 5 67

7 / 7 页

跳转页

[求助] 此毒好阴损!!!(最好高手来分析下此毒的动作)

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-02-04 16:17 \| 短消息资料字号：小中大 61楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 你能肯定x就完全没有误报吗？要拦这个病毒有什么难的，难的是又要拦住病毒又不能有误报。你如果能忍受并有能力识别一些误报，要拦这个病毒也不难。木马行为编辑器，文件规则，创建文件，目录名字符串是C:\WINDOWS\system32，主文件类型数值等于2就可以了。其实误报也不会多的，本来正常程序往SYSTEM32创建PE文件的就不多，更何况是无窗口程序。
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 16:20 \| 只看楼主短消息资料字号：小中大 62楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由 rstgl 于 2009-2-4 16:17:00 发表你能肯定x就完全没有误报吗？要拦这个病毒有什么难的，难的是又要拦住病毒又不能有误报。你如果能忍受并有能力识别一些误报，要拦这个病毒也不难。木马行为编辑器，文件规则，创建文件，目录名字符串是C:\WINDOWS\system32，主文件类型数值等于2就可以了。其实误报也不会多的，本来正常程序往SYSTEM32创建PE文件的就不多，更何况是无窗口程序。老大要文件名包含DLL或扩张名包含.DLL才行这毒放不是PE
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 16:21 \| 只看楼主短消息资料字号：小中大 63楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由 newcenturymoon 于 2009-2-4 16:16:00 发表引用: 原帖由 SpeW 于 2009-2-4 16:05:00 发表 [quote] 原帖由 newcenturymoon 于 2009-2-4 16:01:00 发表因为微点有白名单库正是这个库才能保证他的行为不误报的这个白名单库也是实时升级的瑞星没有这样的库所以行为不能做的这么严格不...... 这个我知道很多xxx网要Qvod这个P2P的播放器不过Qvod本身没问题只是要去官方下才比较安全那些网站提供的下载都是带马的
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

lizhijian12323 初生襁褓狮帖子:16 注册: 2009-02-03 来自:	发表于： 2009-02-04 16:25 \| 短消息资料字号：小中大 64楼回复：此毒好阴损!!!(最好高手来分析下此毒的动作) 新手来学习
lizhijian12323 初生襁褓狮帖子:16 注册: 2009-02-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-02-04 16:26 \| 短消息资料字号：小中大 65楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由 SpeW 于 2009-2-4 16:20:00 发表 [quote] 原帖由 rstgl 于 2009-2-4 16:17:00 发表你能肯定x就完全没有误报吗？要拦这个病毒有什么难的，难的是又要拦住病毒又不能有误报。你如果能忍受并有能力识别一些误报，要拦这个病毒也不难。木马行为编辑器，文件规则，创建文件，目录名字符串是C:\WINDOWS\system32，主文件类型数值等于2就可以了。其实误报也不会多的，本来正常程序往SYSTE 他编的主文件类型数值等于2 的含义就是创建PE文件就报 dll属于pe文件 exe也属于pe文件不需要扩展名而且系统不是通过扩展名看文件类型的是通过文件头看的所以有些病毒扩展名是.ocz .jmp 但他却是个dll 要看本质看文件代码 ~ 不要让扩展名迷了你的双眼
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-02-04 16:32 \| 短消息资料字号：小中大 66楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) Snap39.jpg (26.77 K) 2009-2-4 16:31:56 SVCHOST是被SERVICES启动的，一个DLL被SERVICES注册为服务，SERVICES就会启动SVCHOST加载这个DLL。任何正常程序注册服务都是如此一样的过程。木马行为编辑器不会防SERVICES启动SVCHOST的。那会大大的误报的。
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 16:33 \| 只看楼主短消息资料字号：小中大 67楼回复: 此毒好阴损!!!(最好高手来分析下此毒的动作) 引用: 原帖由 newcenturymoon 于 2009-2-4 16:26:00 发表 [quote] 原帖由 SpeW 于 2009-2-4 16:20:00 发表 [quote] 原帖由 rstgl 于 2009-2-4 16:17:00 发表你能肯定x就完全没有误报吗？要拦这个病毒有什么难的，难的是又要拦住病毒又不能有误报。你如果能忍受并有能力识别一些误报，要拦这个病毒也不难。木马行为编辑器，文件规则，创建文件，目录名字符串是C:\WINDOW 学习了
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

<<上一主题|下一主题>>

1 2 3 4 5 67

7 / 7 页

跳转页

页面顶部

Powered by Discuz!NT