面对一些没有什么动作的小马

早班火车

面对一些没有什么动作的小马如何防呢？如果放进沙盘里运行，由于没有什么动作。
而沙盘又只是不给实机中毒，但密码什么的有可能已经发送出去了。
那是不是只剩下遇到未知程序就直接阻止一条路可以走呢？
另外64位下的毛豆自保是不是很脆弱？TASKKILL ID这个是不是很容易就把毛豆结束了？
另外调用API毛豆是不是也不能防？

h8888

新版毛豆(指V5.X)，我认为还是关闭沙盘，设置未知程序阻止，开启疯狂模式，这样才会相对可靠一点。如果不这样做，漏洞就更多。

mxf147

没什么动作的小马，楼主有样本吗？

accordion

要获取密码，你得用键盘敲出来吧，只要能防止键盘访问就完事了（一般密码都不会保存在记事本什么的让你看吧），要不就是修改什么注册表，修改下程序什么的

至于说怎么用，还是让A大和你说吧，要不你就用D+


最后一个问题，V3，V4可以防，V5这功能就废了

bluelaser

accordion 发表于 2011-10-16 02:07
要获取密码，你得用键盘敲出来吧，只要能防止键盘访问就完事了（一般密码都不会保存在记事本什么的让你看吧 ...

我试过，V5阻止访问诸如Sechost之类的API库文件也能防，例如那个假蓝屏锁鼠标的样本，在沙盘外开疯狂模式全阻止也会被过（估计是内核白名单的问题），在沙盘里会跳框提示访问一些DLL（我DLL和SYS全监控的），如果阻止的话，就不会有任何蓝屏画面，也不会被锁住鼠标。

accordion

bluelaser 发表于 2011-10-16 02:49
我试过，V5阻止访问诸如Sechost之类的API库文件也能防，例如那个假蓝屏锁鼠标的样本，在沙盘外开疯狂模 ...

哦~~还能是这样


不过监控API来说，除了对系统程序的调用还能研究下外，其他没什么价值可言

myzuzong

要想获取密码，就要钩键盘、截屏幕、发邮件什么的，怎么会没动作呢。
未知程序就阻止，那未知程序太多了，连搜狗输入法对于comodo也是未知的，岂不是太痛苦了吗。
64位自保并不弱。taskkill这种r3的东西怎么可能结束毛豆。
call api都不能防的话，那comodo的功能怎么实现呢？

myzuzong

bluelaser 发表于 2011-10-16 02:49
我试过，V5阻止访问诸如Sechost之类的API库文件也能防，例如那个假蓝屏锁鼠标的样本，在沙盘外开疯狂模 ...

若不许加载win32 subsystem api dll，是个程序都跑不起来了，还不如禁运呢。

早班火车

mxf147 发表于 2011-10-16 01:09
没什么动作的小马，楼主有样本吗？

我去问一下有没有样子，那人说小马只会做一个跳转，就是说钩鱼，然后你输入的密码什么就截取了。

早班火车

accordion 发表于 2011-10-16 02:07
要获取密码，你得用键盘敲出来吧，只要能防止键盘访问就完事了（一般密码都不会保存在记事本什么的让你看吧 ...

就像网络钩鱼，需要截取你的键盘吗？