楼主: 墨家小子
收起左侧

[可疑文件] 测试一下你的卡巴手动挡程序控制,看看能不能拦截到对explorer的操作

[复制链接]
jmekoda1
发表于 2017-7-13 22:59:01 | 显示全部楼层
还是卡巴体系强

一环扣一环,
卡巴的坚定支持者

入正
墨家小子
 楼主| 发表于 2017-7-14 07:59:04 | 显示全部楼层
qftest 发表于 2017-7-13 22:45
确信没有漏,只不知为何会如此~~
你的肯定不会有提示启动explorer.exe,因为在我这里的启动其实就 ...

你确定?



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qftest
发表于 2017-7-14 11:14:29 | 显示全部楼层

BUG?BUG!
墨家小子
 楼主| 发表于 2017-7-14 12:02:25 | 显示全部楼层

我在win8、10 X64下试过,都能拦截到注入,需要特殊技巧
墨家小子
 楼主| 发表于 2017-7-14 12:40:54 | 显示全部楼层
本帖最后由 墨家小子 于 2017-7-14 12:52 编辑

试试这个啊 http://bbs.kafan.cn/thread-1867624-1-1.html
还有这个 http://bbs.kafan.cn/thread-1869224-1-1.html  这个比较牛逼
以前抓到的挂马,注入型的 http://bbs.kafan.cn/thread-1935816-1-1.html
著名的KB家族,注入这个不行就注入那个 http://bbs.kafan.cn/thread-1875367-1-1.html
qftest
发表于 2017-7-14 13:02:28 | 显示全部楼层
墨家小子 发表于 2017-7-14 12:02
我在win8、10 X64下试过,都能拦截到注入,需要特殊技巧

不相信你能在win7x64下拦到
墨家小子
 楼主| 发表于 2017-7-14 13:07:32 | 显示全部楼层
qftest 发表于 2017-7-14 13:02
不相信你能在win7x64下拦到

这样新建一个规则试试?





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
,就一个.
发表于 2017-7-14 15:58:56 | 显示全部楼层

有什么不妥吗?请指明

这英文这似乎是下面BB自动分析出该样本一些主要行为里面的第二个

***动作***

该程序正在尝试创建启动项目,以便在系统启动时自动启动程序。
该程序创建或操纵了可执行文件。
可执行文件存储在可疑位置。
启动时引用可疑位置。
该程序已经启动了另一个程序来自行删除。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-24 11:13 , Processed in 0.109206 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表