感染型木马到底是个什么样的具体行为

ysj963

写入 、删除、调试、注入 、进程启用都、进程拦截能防御，但是木马最后一步行为感染 、盗取、记录等具体是个什么行为？  假如前面都没防住，到最后一步明显的恶意行为却防不住了？

HEMM

布吉岛惹~
每每看到感染型在样本区我都吓尿了，别说看行为了~
你何不亲自双击试试看看行为如何？
感染，盗取，记录...............
你是如何分辨出来的？是看样本区上面写着木马然后立刻判断出来的吗？

假如前面都没防住，到最后一步明显的恶意行为却防不住了？

这素什么意思，你是说一开始没防住，但是到最后可以防护住？

.........呃......我本来想说快把你的规则借我抄一抄，不过大概不会比我的好到那里去.......

ysj963

HEMM 发表于 2017-6-11 23:30
布吉岛惹~
每每看到感染型在样本区我都吓尿了，别说看行为了~
你何不亲自双击试试看看行为如何？

我不知道感染这个动作是不是和加密这动作一样跟正常访问区别不出来？

HEMM

ysj963 发表于 2017-6-11 23:33
我不知道感染这个动作是不是和加密这动作一样跟正常访问区别不出来？

这.........泥还真问倒我了~
感染，加密和正常........好专业哦，我估计只有病毒分析程序员能知道了。
以前倒是看过墨姐测过，由于不想学，看完了我就忘记惹~泥何不去翻翻旧帖子。
那些用MD和各种HIPS的鲜贝留下了不少的文献，不过我懒，我是靠意念，信仰和眼泪防护的~随心随性！

其实是老人

你总这样抱着一堆名词，就能做到金刚不坏，刀枪不入？感染型病毒主要在exe文件关联，这主要是注册表控制，其次改写exe文件，添加病毒代码进行感染。这些动作，你看看你那些名词哪个套的上？

FrozenForest

是不是又想通过搞明白这么些“玩意儿”来用HIPS来防御呀 空谈误国，实干兴邦呀

gzmaybe

为何我看不懂你想表达的意思
第一句：写入 、删除、调试、注入 、进程启用都、进程拦截《==既然这种情形已经被拦截了，那为何仍然会出现感染 、盗取、记录等情况呢？

第二句：前面都没防住，到最后一步明显的恶意行为却防不住了 《==前面的没有防住，就更不用说后面的了



这里有一些关于感染型木马的分析，LZ有空的话可以去看一看
http://blog.csdn.net/QQ1084283172/article/details/45933129

http://blog.csdn.net/QQ1084283172/article/details/46916261

http://blog.csdn.net/QQ1084283172/article/details/47449613

http://blog.csdn.net/QQ1084283172/article/details/47447949

欧阳宣

gzmaybe 发表于 2017-6-12 09:27
为何我看不懂你想表达的意思
第一句：写入 、删除、调试、注入 、进程启用都、进程拦截《==既然这种情形已 ...

楼主会告诉你“你发的那些东西我懒得看，我只想让大神用我能懂的语言跟我两三句话解释一下”

gzmaybe

欧阳宣 发表于 2017-6-12 10:07
楼主会告诉你“你发的那些东西我懒得看，我只想让大神用我能懂的语言跟我两三句话解释一下”

但他的提问内容，前后有矛盾的地方，我也看不懂他想表达的意思

欧阳宣

gzmaybe 发表于 2017-6-12 10:25
但他的提问内容，前后有矛盾的地方，我也看不懂他想表达的意思

高能预警！你在楼主的眼中已经在转移话题了