再来一个网络保护，保镖一旦记住允许运行，下次运行后联网再不拦截，这个逻辑有没问题

leisong

http://bbs.kafan.cn/thread-1222905-3-2.html，样本在这里提供
这里下载http://ishare.iask.sina.com.cn/f/22180403.html，

此样本本来可以拦截联网，但发现网购保镖记住允许运行后，当次可以拦截联网，当关闭后再次运行多少次都不再拦截联网，这个逻辑有没有问题，允许运行不等于运行它联网啊。在主防的允许列表中只有现实允许进程创建，我没允许联网啊。

leisong

原本我是想发帖质疑为什么衍生物不拦截联网的，结果再次运行多少次都和第一次运行结果不同，很奇怪，贴图为证，衍生物联网不拦截，现在怎么都无法重现了。就连主程序链接地址都不一样了，奇怪。

prawnliu

leisong 发表于 2012-2-17 17:01
原本我是想发帖质疑为什么衍生物不拦截联网的，结果再次运行多少次都和第一次运行结果不同，很奇怪，贴图为 ...

这应该是个刷流量的
所以每次访问的都是不同的地址
你可以把那个exe的安装包解压开看下：

内容很丰富的
会写一个reg文件，然后导入注册表：
================================================
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run]
"update"="c:\\Progra~1\\drivers\\update.exe"
================================================
然后启动两个程序：
start "" "c:\Progra~1\drivers\config\systems.exe"
start "" "c:\Progra~1\drivers\update.exe"
第二个update就是在刷流量的了
第一个是个代{过}{滤}理，会把自己写入启动项，然后将代{过}{滤}理启用，定位到自己监听的端口上去：

启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"mHttpFilter"="c:\\Progra~1\\drivers\\config\\systems.exe"
代{过}{滤}理设置：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"="http=127.0.0.1:59998"

总之应该是个刷流量的货……
每次访问的地址都不一样，而且是很普通的http页面请求……所以这种东西的拦截确实是个问题

tjh0429

原帖编辑掉！

海阔の天空

楼主，这种东西少下载吧- -，360还提示您关闭……

tjh0429

原帖编辑掉！

prawnliu

tjh0429 发表于 2012-2-17 18:05
如果是小白点了信任或允许的话，那么倒霉后必骂360什么防护不好了之类。
特别是未知文件应该加强每 ...

点允许之后还每一步都弹框的话
那和手动HIPS还有什么区别……
相比少数自己信任之后返回来骂360的人来说
每一步都弹框才是更糟骂的……

tjh0429

原帖编辑掉！

哀酱俏佳人

允许一次就默认了安全，下次不拦截也是应该的

-oAo-

允许就白名单，但下载下来运行的时候还会杀的