对于用透明窗体覆盖QQ面板盗号行为，阻止访问键盘有用吗？

柯林

a256886572008 发表于 2011-10-27 23:05
單純用戶把帳號密碼，輸入病毒窗口，然後病毒調用IE發出去。

除非HIPS加入了窗口参数检查，否则根本就是无用。对于一般用户而言，从第一步——陌生程序（病毒）运行就提高警惕，可以有一定的人工防范作用。鉴于样本还是独立运行的程序，考察陌生进程及你说的防火墙拦截，应该还有一定作用，如果做成dll之类插入其它进程，那真要悲摧了。

a256886572008

柯林 发表于 2011-10-28 10:23
除非HIPS加入了窗口参数检查，否则根本就是无用。对于一般用户而言，从第一步——陌生程序（病毒）运行就 ...

注入其他進程，這個很明顯會被抓到。

柯林

a256886572008 发表于 2011-10-28 10:25
注入其他進程，這個很明顯會被抓到。

迅雷安装之后，注入dll到explorer，然后explorer联网美国的IP地址的16000端口，这个行为，貌似还没有被毛豆之类默认不检查dll加载的HIPS抓到。

a256886572008

柯林 发表于 2011-10-28 10:28
迅雷安装之后，注入dll到explorer，然后explorer联网美国的IP地址的16000端口，这个行为，貌似还没有被毛 ...

信任迅雷安裝的話，當然不會攔截。

myzuzong

柯林 发表于 2011-10-28 10:28
迅雷安装之后，注入dll到explorer，然后explorer联网美国的IP地址的16000端口，这个行为，貌似还没有被毛 ...

LoadLibrary似乎的确没有监控，但是CreateRemoteThread肯定是监控了的，只不过提示太宽泛了，就提示访问进程内存，不像其他HIPS明确提示远程线程注入。

无声无息

myzuzong 发表于 2011-10-28 10:38
LoadLibrary似乎的确没有监控，但是CreateRemoteThread肯定是监控了的，只不过提示太宽泛了，就提示访问进 ...

注入dll会被毛豆说成是访问内存啊？

紫涵

myzuzong 发表于 2011-10-28 10:38
LoadLibrary似乎的确没有监控，但是CreateRemoteThread肯定是监控了的，只不过提示太宽泛了，就提示访问进 ...

看来毛豆的提示得改改。