最新白文件利用活木马实测金山KSC

显示全部楼层 · 发表于 2012-2-16 22:27:38

官方已有解释，

显示全部楼层 · 发表于 2012-2-16 22:27:56

还有路要走

显示全部楼层 · 发表于 2012-2-16 22:33:30

从此帖和其他帖出现的截图中, 都可以发现一个共同点

那就是监控此注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

对呀, 没错啊
windows的程序开机启动点就是在这个地方, 不过一般都是exe文件, 而图中的截图显示是DLL , 这本来就不是正常的现象, 那就报了

显示全部楼层 · 发表于 2012-2-16 22:41:11

本帖最后由 a13828565410 于 2012-2-16 22:43 编辑

金山在这方面必须要完善，目前能最快的完成的方法是白名单里的dll加上md5验证，稍后的技术也要速度补上

金山很多产品的都是开始不错，后期欠打磨，欠细节

显示全部楼层 · 发表于 2012-2-16 22:42:30

还是防比较好...都中毒了不扫根本不知道...

显示全部楼层 · 发表于 2012-2-16 22:53:24

金山毒霸有网购模式，网购木马不是建立在网购上的吗？一旦网购就会自动启动网购模式，所以建议楼主使用网购模式来测试比较符合常规。

显示全部楼层 · 发表于 2012-2-16 22:54:59

怎么样了发表于 2012-2-16 22:33
从此帖和其他帖出现的截图中, 都可以发现一个共同点

那就是监控此注册表项 HKEY_LOCAL_MACHINE\SOFTWARE ...

再补充一下 :

就算是正常的官方软件 ,  如果此位置出现任何DLL文件 , 都是不正常的, 全该杀.  自然是一杀一准

如果是正常的在白名单之中的EXE文件, 那一般的提示是此处有一个无需开机启动的程序 .

如果是一个黑名单中的的EXE程序或是未知的程序,  那就直接禁止或提示用户此处有未知启动项了

还是对文件的监控

显示全部楼层 · 发表于 2012-2-16 23:12:13

老机子发表于 2012-2-16 22:22
看样子大家都是毒霸，卡饭两不误啊？！我感觉大家都在同时打开卡饭和毒霸官方论坛的页面？！和偶一样 ...

大家？？？
请注意自己的言论。
不要把卡饭和毒爸论坛混为一谈。

显示全部楼层 · 发表于 2012-2-16 23:13:35

怎么样了发表于 2012-2-16 22:54
再补充一下 :

就算是正常的官方软件 , 如果此位置出现任何DLL文件 , 都是不正常的, 全该杀. 自然是 ...

再补充:

所有的国内外杀软都会监视此注册表启动点, 可从未听说有哪家公司专门开发一个引擎去干这个活 . 这本来就是系统防御的一部分

真算是开天辟地了

显示全部楼层 · 发表于 2012-2-16 23:45:14

钟馗见鬼发表于 2012-2-16 23:12
大家？？？
请注意自己的言论。
不要把卡饭和毒爸论坛混为一谈。

不要把卡饭的某个区或某个帖子和整个卡饭混为一谈。

[金山] 最新白文件利用活木马实测金山KSC

本帖子中包含更多资源