UAC对抗winlock的方法

显示全部楼层 · 发表于 2011-8-21 20:59:02

wy1091727248 发表于 2011-8-21 20:36
额，好吧~我修改一下~

在国外也有的叫RANSOM..

有一变种是，添加启动项，然后强制重启系统，等登录系统后就被满屏背景黑色的窗口置顶，不能完成其他操作..可惜那一系列当时是写HKLM启动项，所以没什么大碍，如果是写HKCU就没办法了

显示全部楼层 · 发表于 2011-8-22 09:04:50

hj5abc 发表于 2011-8-21 20:59
在国外也有的叫RANSOM..

有一变种是，添加启动项，然后强制重启系统，等登录系统后就被满屏背景黑色的 ...

UAC不行，那组策略怎么样呢？
貌似组策略很不流行
HIPS的话太麻烦了，单独的智能HIPS越来越没落（除了毛豆）

显示全部楼层 · 发表于 2011-8-22 09:21:37

SK云少发表于 2011-8-22 09:04
UAC不行，那组策略怎么样呢？
貌似组策略很不流行
HIPS的话太麻烦了，单独的智能HIPS越来越没落（ ...

参见LZ的方法。
UAC大部分情况下很有用。
国外网马你想中也不容易啊

显示全部楼层 · 发表于 2011-8-22 13:52:09

瑞星木马防御一直木有压力。

显示全部楼层 · 发表于 2011-8-22 19:51:47

dm34343667 发表于 2011-8-22 13:52
瑞星木马防御一直木有压力。

瑞星可不轻巧。。

显示全部楼层 · 发表于 2011-8-22 20:05:26

hj5abc 发表于 2011-8-22 19:51
瑞星可不轻巧。。

我以前也是这么觉得的，其实瑞星卡的原因是文件监控，去掉了和微点差不多轻巧。嘿嘿

显示全部楼层 · 发表于 2011-8-25 09:12:43

能设置不让程序执行关机吗？

显示全部楼层 · 发表于 2011-8-25 14:46:32

zgh8414 发表于 2011-8-21 12:31
过毛豆全局禁运不？

当然不能，如果禁运，你跟就没办法执行一个可执行程序，就没意义了

显示全部楼层 · 发表于 2011-8-25 14:50:15

本帖最后由黄智琛于 2011-8-25 14:51 编辑

zdshsls 发表于 2011-8-21 14:22
刚刚按一个pptv加速器，启动项HKCU，这种不少吧，你要不要我还可以弄到不少这类启动项的软件

pptv加速器在XP下我都木办法卸载，好流氓的家伙

显示全部楼层 · 发表于 2011-8-25 14:53:45

黄智琛发表于 2011-8-25 14:46
当然不能，如果禁运，你跟就没办法执行一个可执行程序，就没意义了

那倒不一定，我就怕有程序能突破毛豆的防御。不过这样的程序应该很少很少，至少目前还没看到。

[技术探讨] UAC对抗winlock的方法