1   1  /  1  页   跳转

【原创】测试问题,大家讨论

收藏
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-05-26 19:05 | 只看楼主 短消息 资料
字号: 1楼

【原创】测试问题,大家讨论

刚刚学习用影子+TINY测试病毒,发现几个问题,希望大家帮着看看~
  测试病毒oso.exe.
  病毒进程中很奇怪,见下图。
  为什么总要删一下再键一下?难道是为了保险,把原来的删除了建新的?
  不会和后面路径的大小写有关系吧。。
 
晕,图片太长了。。。后面没显示出来的文件是一样的。。

附件附件:

下载次数:176
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-26 19:05:55
描述:



最后编辑2007-05-26 21:27:57
分享到:
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-05-26 19:14 | 只看楼主 短消息 资料
字号: 2楼

还想问下猫叔,下面这个禁止提示是什么意思呢?

附件附件:

下载次数:171
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-26 19:14:47
描述:
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-05-26 20:59 | 只看楼主 短消息 资料
字号: 3楼

被砸得没影了。。。顶上去,大家帮着看下。。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-26 21:15 | 短消息 资料
字号: 4楼

引用:
【loveperday的贴子】刚刚学习用影子+TINY测试病毒,发现几个问题,希望大家帮着看看~
  测试病毒oso.exe.
  病毒进程中很奇怪,见下图。
  为什么总要删一下再键一下?难道是为了保险,把原来的删除了建新的?
  不会和后面路径的大小写有关系吧。。
 
晕,图片太长了。。。后面没显示出来的文件是一样的。。

………………

hosts文件被病毒反复更改————防止你去掉病毒加的内容。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-26 21:16 | 短消息 资料
字号: 5楼

引用:
【loveperday的贴子】还想问下猫叔,下面这个禁止提示是什么意思呢?

………………

是这条设置发挥了作用(图)。禁止病毒以其自身的安全属性运行。
这个病毒并未完整运行。

附件附件:

下载次数:159
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-26 21:16:01
描述:
预览信息:EXIF信息
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-05-26 21:34 | 只看楼主 短消息 资料
字号: 6楼

噢~明白了,那看来测试的时候还要把这项放开。
还想问下猫叔,病毒体生成的DLL文件,被TINY监测的时候,也符合这个规则么?
use parent security


附件附件:

下载次数:174
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-26 21:34:08
描述:
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-05-26 21:38 | 只看楼主 短消息 资料
字号: 7楼

或者说,追踪病毒体释放的DLL插入了哪个进程,在TINY中,是不是必须追踪所有程序的LOADING DLL 行为呢?
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT