不得不说，自己做的一个测试这么轻易就突破了……

显示全部楼层 · 发表于 2011-12-17 19:06:16

附件来自己用 rar 自解压到临时文件夹然后用schtasks建立任务计划
怀疑用sc建立服务同样……甚至可能修改驱动……
用rar可以打开看看原理……

显示全部楼层 · 发表于 2011-12-17 19:21:03

本帖最后由 saga3721 于 2011-12-17 19:23 编辑

OP应该拦截了，允许一次启动计划任务后也可在管理员密码的创建时再次拦截提示，好像还有注入explorer.exe的行为？

显示全部楼层 · 发表于 2011-12-17 19:34:54

没有用，要求输入用户密码

显示全部楼层 · 发表于 2011-12-17 19:37:58

saga3721 发表于 2011-12-17 19:21
OP应该拦截了，允许一次启动计划任务后也可在管理员密码的创建时再次拦截提示，好像还有注入explorer.exe的 ...

我看过很多op的日子，不知道是不是都是你贴的，每个日志都有注入explorer.exe的行为，实际其他hips都没有这个行为，我想要么这是一个op的经常性报告错误，要么你已经中毒了，打开一个进程，病毒都会注入并控制该进程注入explorer。exe
以上仅为猜测，不要太紧张

显示全部楼层 · 发表于 2011-12-17 19:46:00

yhjtj 发表于 2011-12-17 19:37
我看过很多op的日子，不知道是不是都是你贴的，每个日志都有注入explorer.exe的行为，实际其他hips都没有 ...

我叫不紧张

VM大哥罩住一切牛鬼蛇神，咱啥都不怕……实机虚拟机中OP的日志都让我给关了，为硬盘好。
OP报explorer注入还是比较准的，报样本下wscsvc驱动不太靠谱，应该是样本注入了其他系统进程，不过这是免费版，要是专业版能手动规则的可能就会更具针对性

显示全部楼层 · 发表于 2011-12-17 22:31:32

什么意思啊，双击调用schtasks拦截了啊

显示全部楼层 · 发表于 2011-12-17 23:19:24

楼主吞吞吐吐似的，看得有点模糊，能否直奔主题地说清楚。

显示全部楼层 · 发表于 2011-12-17 23:54:59

LZ想说明的是？

显示全部楼层 · 发表于 2011-12-18 00:24:18

楼主可能想说明的是：不费吹灰之力就突破了非纯手动模式或非全局禁运模式下的毛豆防御。我测试了一下，纯手动模式下能轻松拦截；全局禁运的安全模式下也能轻松应对。

纯手动模式下的拦截日志：

全局禁运的安全模式也能拦截：

显示全部楼层 · 发表于 2011-12-18 10:53:22

是win7下的默认规则或非手动禁运规则
xp完全可以禁写tasks目录，至于能不能阻止服务就不知了
win7安装程序完全允许简直是个漏洞，运行schtasks,甚至sc都当可信程序了…于是乎我的任务计划就会多东西
win7写任务计划拦不住啊，禁运schtasks不代表能拦住

[讨论] 不得不说，自己做的一个测试这么轻易就突破了……