木马行为检测是否可靠 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星杀毒软件2011 木马行为检测是否可靠

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[体验09] 木马行为检测是否可靠

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-01-28 21:14 \| 只看楼主短消息资料字号：小中大 1楼木马行为检测是否可靠用木马行为编辑器编个规则，用无窗口程序测试，确实弹出提示，可是在我看提示的时候，大概到了倒数7秒时，被控制的程序启动了，点仅放过文件，程序关闭。我就奇怪了，在我还没有做出选择时，瑞星怎么能让程序启动呢？木马行为检测还可靠吗？用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	分享到：

古涛名飘泊而立狮帖子:741 注册: 2008-10-04 来自:	发表于： 2009-01-28 21:20 \| 短消息资料字号：小中大 2楼回复：木马行为检测是否可靠有截图吗
古涛名飘泊而立狮帖子:741 注册: 2008-10-04 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-01-28 21:39 \| 短消息资料字号：小中大 3楼回复：木马行为检测是否可靠什么被控程序启动了被控程序启动了其他进程？
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-01-28 21:43 \| 只看楼主短消息资料字号：小中大 4楼回复: 木马行为检测是否可靠我还骗你呀？本来在忙着看提示呢，它程序启动了，点仅放过文件，程序关闭了，哪还有图。但是有记录。 Snap29.jpg (121.91 K) 2009-1-28 21:42:43 Snap30.jpg (61.65 K) 2009-1-28 21:42:43 Snap31.jpg (34.78 K) 2009-1-28 21:42:43
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-01-28 21:46 \| 短消息资料字号：小中大 5楼回复：木马行为检测是否可靠实在不懂你的意思～～
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-01-28 21:58 \| 只看楼主短消息资料字号：小中大 6楼回复: 木马行为检测是否可靠这个测试程序后台在C:\Program Files\sina创建cd.exe,note.exe,ok.vbs,vivimin.dll这四个文件，然后运行cd.exe.我的规则是监控创建目录名包含c:\进程。所以这个程序在创建文件时不被报警，但是运行cd.exe时，触发规则，瑞星行为检测报警。但是我在看提示时，到了倒数7秒时，cd.exe启动了。我点仅放过文件时，cd.exe退出。
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-01-28 22:03 \| 短消息资料字号：小中大 7楼回复：木马行为检测是否可靠你觉得应该怎么样？比如某进程触发规则那么当弹出窗口时候他的进程就立即被结束？
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-01-28 22:13 \| 只看楼主短消息资料字号：小中大 8楼回复: 木马行为检测是否可靠我的意思是在我做出选择之前，被监控程序不应该被放行。这说的还不清楚吗？我双击测试程序D:\wait\ceshi\test\ceshi3.exe，木马行为检测弹出提示发现自定义木马行为，相关文件：C:\Program Files\sina\cd.exe，C:\WINDOWS\system32\conime.exe。因为这个测试程序ceshi3.exe会在C:\Program Files\sina\创建cd.exe,ok.vbs,note.exe,vivimin.dll,并运行cd.exe。运行cd.exe时就触发了我编的测试规则，弹出上述提示。但是在我看提示时，cd.exe运行了，并启动了C:\WINDOWS\system32\conime.exe。直到我做出选择，点仅放过文件时，cd.exe 才退出。我觉得这不应该，cd.exe 不应该启动才对，并且cd.exe 还启动了子进程conime.exe。
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-01-28 22:23 \| 短消息资料字号：小中大 9楼回复：木马行为检测是否可靠在触发规则的时候貌似对于此时触发规则的进程的行为是不控制的当你点击对应选项时候会结束进程或者结束进程并删除相关文件
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-01-28 22:24 \| 只看楼主短消息资料字号：小中大 10楼回复: 木马行为检测是否可靠这个规则是API规则，创建进程的这么一个规则。理所当然被启动进程（本例为C:\Program Files\sina\cd.exe）应该在我做出选择后再按相应选项反应。另外木马行为检测没有放行选项，只有加入信任名单一项。而且选加入白名单仍然被启动进程退出。
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT