发表于: 2009-06-27 17:47 | 显示全部 短消息 资料
字号: 1楼

RS主防测试直播

开启监控项

样本稍后附上

运行样本RS提示访问CMD。一旦允许程序错误
因为是实机测试所以没有图
附上样本不妨自己测试
感染性样本
来自测试群的一个人
由他开发
测试日记附上
日记来自卡饭
2009-6-27 13:56:14    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\__tmp_rar_sfx_access_check_281437
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\local.stat
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\Comdlg32.ocx
规则: [文件组]阻止 -> [文件]c:\*; *.ocx

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\Comdlg32.ocx
规则: [文件组]阻止 -> [文件]c:\*; *.ocx

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XH1.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XH1.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XHkill.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XHkill.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XHKILLR.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XHKILLR.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XHMain.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XHMain.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe

2009-6-27 13:56:18    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\local.stat
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2009-6-27 13:56:18    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\local.stat
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-06-27 14:51:04        应用程序保护(运行应用程序)   
进程路径:E:\KIA\小孩一号\XHMain.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /f /im taskmgr.exe

2009-06-27 14:51:09        应用程序保护(运行应用程序)   
进程路径:E:\KIA\小孩一号\XHMain.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c date 2000-01-08

2009-06-27 14:52:03        应用程序保护(运行应用程序)   
进程路径:E:\KIA\小孩一号\XHMain.exe
文件路径:C:\WINDOWS\system32\shutdown.exe
命令行:-r -t 0
XHKILLR.exe运行后

2009-06-27 14:50:04        应用程序保护(运行应用程序)   
进程路径:E:\KIA\小孩一号\XHKILLR.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /f /im taskmgr.exe

2009-06-27 14:50:10        应用程序保护(加载库文件)   
进程路径:E:\KIA\小孩一号\XHKILLR.exe
文件路径:E:\KIA\小孩一号\XHkill.dll

2009-06-27 14:50:30        文件保护(创建文件) 
进程路径:E:\KIA\小孩一号\XHKILLR.exe
文件路径:C:\Program Files\Explorer++\MyProKillerTmp.sys

2009-06-27 14:50:35        应用程序保护(访问服务管理器) 
进程路径:E:\KIA\小孩一号\XHKILLR.exe

2009-06-27 14:50:40        应用程序保护(安装服务或者驱动)   
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\Program Files\Explorer++\MyProKillerTmp.sys

2009-06-27 14:50:43        文件保护(删除文件)   
进程路径:E:\KIA\小孩一号\XHKILLR.exe
文件路径:C:\Program Files\Explorer++\\Program Files\Explorer++\MyProKillerTmp.sys

2009-06-27 14:50:47        应用程序保护(运行应用程序) 
进程路径:E:\KIA\小孩一号\XHKILLR.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /f /im RSTRAY.EXE


XHMain.exe运行后有个界面不过行为一旦阻止就出错退出

沙盘运行了下





剩下的拦不到了。。。
原帖http://bbs.ikaka.com/showtopic-8636852.aspx
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 551)

附件附件:

下载次数:190
文件类型:application/octet-stream
文件大小:
上传时间:2009-6-27 17:59:27
描述:rar

最后编辑ty88 最后编辑于 2009-06-27 18:18:23