有没有谁用毛豆测过灰鸽子啊?

紫涵

sky1987 发表于 2011-11-6 17:08
一般木马的启动方式就是注入系统进程启动，像svchost，explorer这些
还有就是IE，毛豆对系统程序规则是全 ...

如果启用了沙盘，木马的服务端应该在沙盘里面运行，那么SVCHOST,EXPLORER这些应该 都跟着入沙了。。。
所以我的沙盘都开到低权限级别了，就是怕再低一级一些程序没发运行了。

sky1987

紫涵 发表于 2011-11-6 17:12
如果启用了沙盘，木马的服务端应该在沙盘里面运行，那么SVCHOST,EXPLORER这些应该 都跟着入沙了。。。
所 ...

对沙盘不熟悉~不敢乱回答
我一直不用沙盘，以前挺相信sandbox，后来听说sandbox能被穿
还有一些木马是防虚拟机防沙盘的，检测到是虚拟机就不发作，当你认为没问题可以实机运行的时候，嘿嘿
防木马用D+的时候不要手滑不小心点了允许一般没什么问题

紫涵

sky1987 发表于 2011-11-6 17:25
对沙盘不熟悉~不敢乱回答
我一直不用沙盘，以前挺相信sandbox，后来听说sandbox能被穿
还有一些木马是防 ...

我现在开了安全模式 ，和自动沙盘，并且防火墙和D+里面勾了自动阻止。
所以现在一个跳窗都不会有的，默默的自动阻止。。。
沙盘的BUG修复了，话说D+不也一样有能饶过的么！

a256886572008

sky1987 发表于 2011-11-6 17:08
一般木马的启动方式就是注入系统进程启动，像svchost，explorer这些
还有就是IE，毛豆对系统程序规则是全 ...

手動 HIPS，默認允許 結束所有進程。

a256886572008

sky1987 发表于 2011-11-6 17:25
对沙盘不熟悉~不敢乱回答
我一直不用沙盘，以前挺相信sandbox，后来听说sandbox能被穿
还有一些木马是防 ...

實機，有  策略沙盤  或  手動HIPS 可攔截。

sky1987

a256886572008 发表于 2011-11-6 17:28
手動 HIPS，默認允許 結束所有進程。

我第一次是用全部询问，但只有看屏幕和看键盘记录时能看到动作
第二次干脆全部设为阻止，但是还是拦不了其它动作
日志里也就看到屏幕和键盘的动作

柯林

sky1987 发表于 2011-11-6 17:08
一般木马的启动方式就是注入系统进程启动，像svchost，explorer这些
还有就是IE，毛豆对系统程序规则是全 ...

毛豆默认不防读取
进程随意结束，何解?——任务管理器结束它？灰鸽子结束别的进程（这个防不到就漏了）？灰鸽子结束自己的子进程（一般也会提示）？

对于HIPS而言，最理想的使用环境是干净系统，已经中毒的系统，无论是HIPS还是杀毒软件，有时候就是个悲剧。

ps：印象中，灰鸽子主要是使用钩子来逃避杀软的检查，如果它已经成功装载钩子，才开启毛豆，是否还有效，貌似理论上有点困惑。灰鸽子主程序是个dll服务吧?一般貌似要重启系统后加载成系统服务。

sky1987

柯林 发表于 2011-11-6 19:32
毛豆默认不防读取
进程随意结束，何解?——任务管理器结束它？灰鸽子结束别的进程（这个防不到就漏了）？ ...

我是先开了毛豆后装鸽子的
没注意那么多，前几天测的，论坛好像刚好进不去
当时用了2台电脑，现在测不了，1台电脑测试我怕不准确
截屏和读取键盘都能有提示，其他的一概防不了
不只不防读，删受保护的文件也丝毫没反应

saga3721

注入不拦截当然不行

柯林

sky1987 发表于 2011-11-6 20:16
我是先开了毛豆后装鸽子的
没注意那么多，前几天测的，论坛好像刚好进不去
当时用了2台电脑，现在测不了 ...

可能的原因：
1、程序运行时释放了个驱动加载了
2、程序早已注入系统进程乃至操控了内核
3、毛豆因为软件冲突或系统运行环境有问题等原因，早已经是个半残废