瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 此毒好阴损!!!(最好高手来分析下此毒的动作)

123   2  /  3  页   跳转

[求助] 此毒好阴损!!!(最好高手来分析下此毒的动作)

收藏
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 14:25 | 显示全部 短消息 资料
字号: 11楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)

在HKLM\System\CurrentControlSet\Services\分支添加: ovtjkk。而此ovtjkk\Parameters\\ServiceDll指向C:\windows\system32\bzdohe.dll
开启一个svchost.exe进程,那个病毒dll就活了。

根据这样的话  这个DLL是因为注册表的改写直接加载的?而不是注入的

但是病毒是否后门会启动一个svchost??  如果是,它还是直接启动了并跳过了我的规则
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 14:32 | 显示全部 短消息 资料
字号: 12楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)

放过签名程序 我本来就是取消了的 主要是它调用服务管理器加载服务  一般看了就允许了 如果我不是知道是测病毒 估计也被它忽悠;了
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 14:35 | 显示全部 短消息 资料
字号: 13楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 天月来了 于 2009-2-4 14:31:00 发表
要知道系统的东西必须可以任意做事,如果不能,就要死定了

所以任何监控都难以达到完美的

唯一最好的办法,是一开始就不让那病毒程序运行

一旦运行开始执行什么,那么就有可能阻止不了


如果我没记错的话  木马调用服务管理器不是新花样  很早就有了
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 14:39 | 显示全部 短消息 资料
字号: 14楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)

说到点子上了  你看看短消息 我问了你什么
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 14:43 | 显示全部 短消息 资料
字号: 15楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)

不过好像我记得是挂了全局钩子 系统动作有拦截 相关程序是svchost
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 14:44 | 显示全部 短消息 资料
字号: 16楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 天月来了 于 2009-2-4 14:42:00 发表
和很早就有没什么关系

而是任何安全软件不能将和正常软件行为一样的程序行为都拿来提示

那样用户会气死的

这付费的软件和免费的360类软件不一样

360类软件疯狂提示正常行为,用户也急不出什么名堂的

但是瑞星软件如果默认提示这类正常软件可能也有的程序行为的话

那就死定了



呵呵 ........      瑞星也提示了哦  说是services创建注册表项
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 14:48 | 显示全部 短消息 资料
字号: 17楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 newcenturymoon 于 2009-2-4 14:46:00 发表


引用:
原帖由 天月来了 于 2009-2-4 14:29:00 发表
看了阳光的

就知道原因了

因为过程就是由services.exe完成的

所以瑞星杀毒软件是难以判断的

因为它默认白名单那里是自动放过签名程序的

而系统的东西它都是默认可以做事的

所以你靠瑞星的监控自然......

不是那么回事
我说的意思是 ”创


正因为如此 我才觉得木马编辑器出漏洞了  这个动作监控不到
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 14:52 | 显示全部 短消息 资料
字号: 18楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 天月来了 于 2009-2-4 14:45:00 发表
你设置杀毒软件监控svchost.exe的启动试试

看什么东西要再启动一个svchost.exe的进程


知道是谁了 srevice启动了svchost  难到编辑器里编辑后门启动svchost对services是无效的?
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 14:56 | 显示全部 短消息 资料
字号: 19楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)

这个我已经去学习了一反了  iHook为某某的是后就是键盘或者消息什么的  对吧 ?
最后编辑SpeW 最后编辑于 2009-02-04 15:02:09
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 14:57 | 显示全部 短消息 资料
字号: 20楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 newcenturymoon 于 2009-2-4 14:54:00 发表
[quote] 原帖由 SpeW 于 2009-2-4 14:48:00 发表
[quote] 原帖由 newcenturymoon 于 2009-2-4 14:46:00 发表
[quote] 原帖由 天月来了 于 2009-2-4 14:29:00 发表
看了阳光的

就知道原因......



那个注册表的改动监控不到  不是ms.exe做的
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT