豆豆又被过！5.9啊5.9……

显示全部楼层 · 发表于 2011-12-5 19:08:06

myzuzong 发表于 2011-12-5 17:34
显然是过了呗。足球病毒的“过”是因为没有FD全盘保护规则的缘故。

那个帖子里，成功加载了设备驱动程 ...

现在把D+边缘化的毛豆实质上是一个杀软，被过是意料中的事。

显示全部楼层 · 发表于 2011-12-6 18:39:39

本帖最后由 tedrick 于 2011-12-6 18:39 编辑

如何劫持确实不太清晰，看那位LZ的意思是签名白文件调用DLL劫持。然后后面贴图dfsc.sys内核劫持，难道也是篡改的？下面有人提出请LZ尝试关闭沙盘测试及用OP测试，未答复~还是样本来得实在些。。。

显示全部楼层 · 发表于 2011-12-6 19:05:29

tedrick 发表于 2011-12-6 18:39
如何劫持确实不太清晰，看那位LZ的意思是签名白文件调用DLL劫持。然后后面贴图dfsc.sys内核劫持，难道也是篡 ...

没样本，无复验，只能停留在口水上。

dll加载监控，历来都是HIPS的一大软肋——监控太麻烦，不监控还真有个别作怪的。

显示全部楼层 · 发表于 2011-12-6 19:17:25

geswall就能对单独dll入沙

显示全部楼层 · 发表于 2011-12-6 19:24:37

柯林发表于 2011-12-6 19:05
没样本，无复验，只能停留在口水上。

dll加载监控，历来都是HIPS的一大软肋——监控太麻烦，不监控还真 ...

可以采用白名单DLL不提示，只提示不是白名单的DLL。

显示全部楼层 · 发表于 2011-12-6 19:27:19

zdw2041 发表于 2011-12-6 19:17
geswall就能对单独dll入沙

没用过，不知道实情。

说实话，如果一个HIPS真做到程序每加载一个dll之前都要询问，我想我自己先疯了。

对于毛豆而言，如果是一个样本，建议手动入沙观察。如果是adobe flashplayer之类的马蜂窝程序，可以尝试永久入沙来控制（其实这是吃多了撑的）。D+规则对付dll加载纯属没戏。
其实从原理上来说，此类事件绝对可以淡定。因为，第一，要有那个作祟的dll，而开着毛豆的情况下，下到那个dll立马就验证成不安全文件隔离了，还轮不到加载作乱那一步。跟风吵吵的纯属蛋疼。

显示全部楼层 · 发表于 2011-12-6 19:31:35

本帖最后由柯林于 2011-12-6 19:33 编辑

紫涵发表于 2011-12-6 19:24
可以采用白名单DLL不提示，只提示不是白名单的DLL。

毛豆现在的机制已经有了——信任文件里不止有exe，还有dll，如果你联网安装一个程序，则该程序所有的dll基本上都验证在了信任文件里（如果它是一个安全但不在白名单的程序）。

[分享] 豆豆又被过！5.9啊5.9……

本帖子中包含更多资源