楼主: ELOHIM
收起左侧

[分享] 【我是小白】记一次搭配 SCEP 双击样本的经历

  [复制链接]
Dolby123
发表于 2017-6-4 15:44:45 | 显示全部楼层
[mw_shl_code=css,true]NOTE:全人类都要爱护小白。不许伤害。只能关爱[/mw_shl_code]

小白路过学习
ELOHIM
 楼主| 发表于 2017-6-4 16:33:13 | 显示全部楼层
wuming_bpnes 发表于 2017-6-4 01:49
楼主成功引起了我学习手杀的兴趣


刚刚上卡饭。
如果会手杀,希望得到帮助啊……
不吝赐教。
ELOHIM
 楼主| 发表于 2017-6-4 16:34:53 | 显示全部楼层
欧阳宣 发表于 2017-6-4 06:35
防火墙这段还真不知道,学习了

系统防火墙效率很高。
缺点是容易被netsh 修改。
那么,你可以使用组策略就行了。
目前方法无法使用netsh 修改组策略规则。
前提,不要让本地规则和组策略规则合并。
很多恶意/非恶意软件都有重置防火墙的操作。
ELOHIM
 楼主| 发表于 2017-6-4 16:37:13 | 显示全部楼层
mxs1988 发表于 2017-6-4 07:32
夭寿啦!大神又在冒充小白啦!


真心的白的很。。
只是喜欢慢慢研究对策。

话说下图,正式微软对抗这种勒索的利器,然而,很多人无视了……


系统映像和个人重要文件夹放在专一文件夹,然后妥善处理就对了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ELOHIM
 楼主| 发表于 2017-6-4 16:40:10 | 显示全部楼层


虚拟机,我的胆还没有那么肥。
所以虚拟机没有使用process monitor。

还有很多信息没有发上来,比如这个恶意文件会做什么注册表操作,有没有服务,等等我都没说……
————
P.S.千万不要实体机测试样本。
ELOHIM
 楼主| 发表于 2017-6-4 16:45:48 | 显示全部楼层
本帖最后由 ELOHIM 于 2017-6-4 17:09 编辑
68221281 发表于 2017-6-4 10:29
感谢楼主分享的经历,NTFS 权限是个好东西啊,学习了。。。
然后弱弱地说说看法,没太懂 svchost.exe 那两 ...

2276 是进程ID。无关既要,需要的时候用来查询。当然,也可以做一些结束进程的操作。就是一个标识。
三方软件有很多功能,并且非常强大,用好了事半功倍,受益无穷。
用不好就拖累系统,一会安装一会卸载,造成很多无用之功。
并且,三方软件真心很多,诱惑很大,加上厂商无尽的造势与红旗飘飘的宣传233333.。。

UAC小权限用户还没有遇到过被直接 PASS掉的情况………………
ELOHIM
 楼主| 发表于 2017-6-4 16:50:52 | 显示全部楼层
j2016 发表于 2017-6-4 12:50
从来不知道个人电脑的防火墙可以这样设置的,目前进站block了,看看这几天用的感觉

先谢谢

还可以继续加强很多规则。慢慢研究一下看!~
我用了很久了。
个人PC根本不需要入站。
只要做好 svchost.exe 和DNS正常出站通讯即可。

本来想着像固定浏览器一样固定 svchost.exe 的出站IP,但是微软动态 IP太难搞…………………………
固定以后往往造成windows 更新失败,错误,网络连接失败等等。
但是可以考虑固定在每月第二个星期二临时开启任何远程 IP。


安全,就是限制。
ELOHIM
 楼主| 发表于 2017-6-4 16:51:48 | 显示全部楼层
諾言敵不過時間 发表于 2017-6-4 14:44
貓貓師父冒充小白!!
我喜歡這篇


谢谢诺言……
ELOHIM
 楼主| 发表于 2017-6-4 16:54:45 | 显示全部楼层
本帖最后由 ELOHIM 于 2017-6-4 16:56 编辑
HEMM 发表于 2017-6-4 15:08
艾阁阁真是胆大心细,我都吓尿了,一般中毒我只会做两件事情,大哭和全盘格式化。


本来就时间紧迫,哪有时间哭啊。

一定要冷静,迅速定位,加权限制。
不过有一些文件针对性很强,NTFS可能加不上,就需要进入安全模式更改了。
安全模式破坏掉了,那再哭,哭完了用PE,PE蓝屏再重装系统。
哈哈!

怎么说,用剪刀剪网线还是可以得!~

加驱动的病毒以后我也试试,
不然,安静的我搭配安静的 WD是在无聊啊,
如果我会 LOL多好…………

ELOHIM
 楼主| 发表于 2017-6-4 16:57:24 | 显示全部楼层
j2016 发表于 2017-6-4 12:50
从来不知道个人电脑的防火墙可以这样设置的,目前进站block了,看看这几天用的感觉

先谢谢

另外,这样设置,一条 netsh 就给你还原默认了。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 06:41 , Processed in 0.092604 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表