測智能主防

显示全部楼层 · 发表于 2011-7-29 18:47:03

本帖最后由余热于 2011-7-29 18:48 编辑

will 发表于 2011-7-29 18:39
千万别允许，允许就悲剧了

开个虚拟机，单奔管家，建个快照，点着玩。

显示全部楼层 · 发表于 2011-7-29 18:56:41

will 发表于 2011-7-29 18:39
同情你孩子
没有HIPS加好的规则，乃竟然实机测试

我是用我的老笔记本专门来实机测试的。

显示全部楼层 · 发表于 2011-7-29 19:10:22

dm34343667 发表于 2011-7-29 18:37
你折腾的都是套装。。

可以搭配的嘛

显示全部楼层 · 发表于 2011-7-29 19:11:44

will 发表于 2011-7-29 19:10
可以搭配的嘛

不要告诉偶是KIS+COMODO

显示全部楼层 · 发表于 2011-7-29 19:14:20

dm34343667 发表于 2011-7-29 19:11
不要告诉偶是KIS+COMODO

bingo~~~

不过不是盲目搭配
比如KIS只安装了文件反病毒、网页反病毒和反广告
CIS只安装了防火墙和defense+

显示全部楼层 · 发表于 2011-7-29 19:18:01

will 发表于 2011-7-29 19:14
bingo~~~

竟然不要KIS主防？

显示全部楼层 · 发表于 2011-7-29 19:19:12

dm34343667 发表于 2011-7-29 19:18
竟然不要KIS主防？

有defens+了

显示全部楼层 · 发表于 2011-7-29 19:25:17

will 发表于 2011-7-29 18:36
第一步要访问print spooler的COM时我就block了。。 so。。。联网时也block了
这就是单步HIPS ...

看ESET报的威胁名(Olmarik)，应该是TDSS？还有访问底层磁盘的动作..

我是开着UAC实机运行，不过没出现什么问题，难道是通过Print Spooler的COM接口利用spoolsrv加载服务？

那就是说利用系统进程绕过UAC，但实际上用XueTr没有可疑的启动项或服务项啊..

显示全部楼层 · 发表于 2011-7-29 19:30:07

本帖最后由 will 于 2011-7-29 19:30 编辑

hj5abc 发表于 2011-7-29 19:25
看ESET报的威胁名(Olmarik)，应该是TDSS？还有访问底层磁盘的动作..

我是开着UAC实机运行，不过没出现 ...

的确是通过Print Spooler的COM接口利用spoolsrv加载驱动
访问底层磁盘的动作也拦截了我贴出的第二张图就是
访问底层磁盘应该是为了做什么呢？
通常这样做是为了直接修改某些系统程序吧（比如机器狗）
如果真是这样，那么在重启前通过XueTr检测不到可疑的启动项或服务就说的通了

显示全部楼层 · 发表于 2011-7-29 19:39:15

will 发表于 2011-7-29 19:30
的确是通过Print Spooler的COM接口利用spoolsrv加载驱动
访问底层磁盘的动作也拦截了我贴出的第二张 ...

读写底层磁盘修改MBR，北极熊说过这在Ring3下可无驱动穿还原

UAC降权的话，不提权貌似也是不能访问底层磁盘的

看来要用组策略禁运spoolsrv.exe了，这个被利用的还真多..

[病毒样本] 測智能主防