利用规则拦截毒网下载木马

firefox3

虚拟机win8 X64，McAfee 8.8 P3

规则来自墨大的《墨池McAfee 8.8 P2返璞规则 64位》其中的四条规则，封锁exe、dll、com、sys，其余的自定义规则关闭。

拦截记录如下：

2013/2/18        19:47:25        已由访问保护规则禁止         WIN-KOBG8SVG6H8\FF3        C:\Program Files (x86)\Java\jre7\bin\java.exe        C:\Users\FF3\AppData\Roaming\iEventMusic\iEventMusic.dll        用户定义的规则:04 封锁dll        已阻止的操作: 创建

2013/2/18        19:49:39        已由访问保护规则禁止         WIN-KOBG8SVG6H8\FF3        C:\Program Files (x86)\Java\jre7\bin\java.exe        C:\Users\FF3\wgsdgsdgdsgsd.exe        用户定义的规则:03 封锁exe        已阻止的操作: 创建

2013/2/18        19:49:47        已由访问保护规则禁止         WIN-KOBG8SVG6H8\FF3        C:\Program Files (x86)\Java\jre7\bin\java.exe        C:\Users\FF3\awt43abr.exe        用户定义的规则:03 封锁exe        已阻止的操作: 创建

2013/2/18        19:51:12        已由访问保护规则禁止         WIN-KOBG8SVG6H8\FF3        C:\Users\FF3\Desktop\soft\PowerTool x64 V1.2\PowerTool.exe        C:\Users\FF3\Desktop\soft\PowerTool x64 V1.2\kEvP64.sys        用户定义的规则:09 封锁sys        已阻止的操作: 创建

2013/2/18        19:52:15        已由访问保护规则禁止         WIN-KOBG8SVG6H8\FF3        C:\Program Files (x86)\Java\jre7\bin\java.exe        C:\Users\FF3\wgsdgsdgdsgsd.exe        用户定义的规则:03 封锁exe        已阻止的操作: 创建

2013/2/18        19:52:36        已由访问保护规则禁止         WIN-KOBG8SVG6H8\FF3        C:\Program Files (x86)\Java\jre7\bin\java.exe        C:\Users\FF3\awt43abr.exe        用户定义的规则:03 封锁exe        已阻止的操作: 创建

2013/2/18        19:54:38        已由访问保护规则禁止         WIN-KOBG8SVG6H8\FF3        C:\Program Files (x86)\Java\jre7\bin\java.exe        C:\Users\FF3\wgsdgsdgdsgsd.exe        用户定义的规则:03 封锁exe        已阻止的操作: 创建

2013/2/18        19:58:35        已由访问保护规则禁止         WIN-KOBG8SVG6H8\FF3        C:\Program Files (x86)\Java\jre7\bin\java.exe        C:\Users\FF3\wgsdgsdgdsgsd.exe        用户定义的规则:03 封锁exe        已阻止的操作: 创建

2013/2/18        19:58:39        已由访问保护规则禁止         WIN-KOBG8SVG6H8\FF3        C:\Program Files (x86)\Java\jre7\bin\java.exe        C:\Users\FF3\awt43abr.exe        用户定义的规则:03 封锁exe        已阻止的操作: 创建

2013/2/18        19:58:48        已由访问保护规则禁止         WIN-KOBG8SVG6H8\FF3        C:\Program Files (x86)\Java\jre7\bin\java.exe        C:\Users\FF3\a43vtzgbdgv.exe        用户定义的规则:03 封锁exe        已阻止的操作: 创建

2013/2/18        19:59:00        已由访问保护规则禁止         WIN-KOBG8SVG6H8\FF3        C:\Program Files (x86)\Java\jre7\bin\java.exe        C:\Users\FF3\bg34dfbewgba4.exe        用户定义的规则:03 封锁exe        已阻止的操作: 创建

蓝核

好多java……火狐你居然开始玩咖啡了！
不对，你是多机器？不然pf和咖啡兼容么？
还有毒网的SEP拦截……

firefox3

蓝核 发表于 2013-2-18 21:02
好多java……火狐你居然开始玩咖啡了！
不对，你是多机器？不然pf和咖啡兼容么？
还有毒网的SEP拦截……

蓝核

firefox3 发表于 2013-2-18 21:05

懂了

firefox3

蓝核 发表于 2013-2-18 21:07
懂了

三个虚拟机，一个实机

一晴空

firefox3 发表于 2013-2-18 21:08
三个虚拟机，一个实机

机器性能真好。。。。。
乃用JRE？

firefox3

一晴空 发表于 2013-2-18 22:00
机器性能真好。。。。。
乃用JRE？

抓毒必备

一晴空

firefox3 发表于 2013-2-18 22:07
抓毒必备

好吧= =这倒是