感染型木马到底是个什么样的具体行为

显示全部楼层 · 发表于 2017-6-12 17:28:54

gzmaybe 发表于 2017-6-12 16:58
都不是；个人认为应该是通过采用系统勾子的方式与system32/syswow64中的EXE/DLL进行挂勾，从而当执行这个 ...

这个动作HIPS应该怎么防啊？

显示全部楼层 · 发表于 2017-6-12 17:57:40

ysj963 发表于 2017-6-12 17:28
这个动作HIPS应该怎么防啊？

如果HIPS有弹窗提示的，就根据自己的经验去判断；判断不了的就是先禁止，等有经验了再放行；
如果没有弹窗提示的，就表示这个玩意已经被HIPS禁止了或者是HIPS认为它是安全的；

说多一句，HIPS有纯HIPS版，需要自己去判断和写规则的；也有与杀软结合在一齐的，不同的版本有不同的方法。

其实如果时间不够的话，就没有必要去深入研究这些东西，因为勾子毕竟牵涉到系统内核之类的东西，你又不是做开发或者是做系统安全的。
http://bbs.kafan.cn/thread-1813604-1-1.html

显示全部楼层 · 发表于 2017-6-12 19:40:47

gzmaybe 发表于 2017-6-12 17:57
如果HIPS有弹窗提示的，就根据自己的经验去判断；判断不了的就是先禁止，等有经验了再放行；
如果没有弹 ...

键盘记录防御确实麻烦，我也不会写那么多规则去搞自己，就想了解下主要的几个动作保护下。

显示全部楼层 · 发表于 2017-6-12 22:42:39

ysj963 发表于 2017-6-12 19:40
键盘记录防御确实麻烦，我也不会写那么多规则去搞自己，就想了解下主要的几个动作保护下。

其实只需要装个杀毒软件就行了，怕死的话，加再上一个火绒；至于论坛上有口碑的沙箱软件，因为需要花时间去研究，觉得有需要就装吧

[讨论] 感染型木马到底是个什么样的具体行为