查看: 16113|回复: 75
收起左侧

使用fscs的首次中毒,请globe和david_sg莅临指导。

[复制链接]
sob2007
发表于 2007-8-26 15:03:12 | 显示全部楼层 |阅读模式
一年多来一直使用fs的cs6,今天下午中毒了,过程坎坷(以下附图,fs拦截未果,然后全盘杀毒再次未果,,不得已只得冷静头脑、重新分析、思考对策,手工find virus/trojan并del之),估计现在业已手工杀毒完毕,请两位指导一下如何将virus/trojan sample发送至f-secure lab进行分析。

现在只得出一个结论,杀软是死的,人是活的,人永远不能太依赖杀软![:27:]



[病发初期症状,fs之gui进程已然被病毒kill了,右下角之fs logo消失了]



[见最底部的图片,fs拦截未果,suchost成功杀入内存]



[全盘扫描,再次未果,引发了我的思考,trojan之attrib是隐藏的。郁闷的是config\security居然cannot open,也不知道是个什么玩意儿]

[ 思考对策,手工杀毒, 人定胜天,不依赖任何杀软,照样取得战役最终的胜利,见下图]



[ 本帖最后由 sob2007 于 2007-8-26 15:20 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
globe
发表于 2007-8-26 15:18:13 | 显示全部楼层
非常不幸啊,终于中招了,看贴图这个恶意程序应该是木马
上报fs有两种方法:
1.Email的方式: vsamples@f-secure.com or vsamples@samples-lab.f-secure.com
2.在线上报系统: http://support.f-secure.com/enu/ ... /index_sample.shtml 推荐
sob2007
 楼主| 发表于 2007-8-26 15:34:51 | 显示全部楼层
原帖由 globe 于 2007-8-26 15:18 发表
非常不幸啊,终于中招了,看贴图这个恶意程序应该是木马
上报fs有两种方法:
1.Email的方式: vsamples@f-secure.com or vsamples@samples-lab.f-secure.com
2.在线上报系统: http://support.f-secure.com/enu/h ...


突然有点惜售,有点舍不得上报了,留在家里,做病毒标本,慢慢玩,哈哈。

globe把头像换回来吧,以前那个动漫的形象好,这个女人的头像不好看。

想问一下globe,想在fscs6的基础上再装一个小红伞c版或者avg,技术上可行否,会不会有冲突。
我的内存只有128m,先下个大蜘蛛绿版,玩玩这个僵尸木马,先。
globe
发表于 2007-8-26 15:50:15 | 显示全部楼层
不会是想留着害人吧
用FS的时候没装过其他的杀软,所以不能给你这方面的经验
不过建议不用再装杀软,而最好找可以在安全模式下运行的绿色杀软,作为fs缺陷的弥补
taihuxian
发表于 2007-8-26 15:57:20 | 显示全部楼层
赫赫,fs的sandbox果然是鸡肋,早就警告过了,病毒库查不出来,十有七八sc是拦截不住。
闪人。。。。
sob2007
 楼主| 发表于 2007-8-26 16:29:14 | 显示全部楼层
原帖由 globe 于 2007-8-26 15:50 发表
不会是想留着害人吧
用FS的时候没装过其他的杀软,所以不能给你这方面的经验
不过建议不用再装杀软,而最好找可以在安全模式下运行的绿色杀软,作为fs缺陷的弥补


不敢苟同g兄的观点,fs虽然不能在安全模式下运行,但是可以用fsav.exe在dos下杀毒,比之安全模式更底层、深入和直接。



至于我今天的中毒,估计是使用cs6系列的缘故(还有昨天改了一些我至今都很懵懂的设置,估计是改错了),7系列的zero-day以及HIPS的功能要被6系列的完备的多!

一年多来,我的application launch attemps和manipulation attemps都是不打勾了,昨天把它们都打了勾,请globe释疑,到底这2个选项要不要打勾。



还有这个,alert on illegal packets要不要打勾?



最重要的是,如果我昨天打勾了scan web traffic(http),是不是我今天就不会遭遇中(suchost)毒这样的事件了?



新加坡的david是个神龙见首不见尾的人物,不过globe的功力也是令我很仰慕的,以上问题敬请globe全部答疑,

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
globe
发表于 2007-8-26 16:32:27 | 显示全部楼层
鸡肋不鸡肋另当别论,fscs 6.x并没有hips功能
sob2007
 楼主| 发表于 2007-8-26 16:37:38 | 显示全部楼层
原帖由 taihuxian 于 2007-8-26 15:57 发表
赫赫,fs的sandbox果然是鸡肋,早就警告过了,病毒库查不出来,十有七八sc是拦截不住。
闪人。。。。


每一个人都不是神,况乎杀软。这样评价fs,有失中肯,毕竟fs还是提示了suchost,给予了我一个思路,投石问路,还是很有乐趣的,毕竟,乐趣都给杀软了,那我就成笨蛋了!

把玩病毒,最有乐趣,运用之妙,存乎一心
globe
发表于 2007-8-26 16:49:19 | 显示全部楼层
david是专业人士,我挺多算是热心点的用户,而且早已不用FS很多年
sob2007兄所提的问题,我想对于一个使用了一年多fs的老用户是很容易理解的,勾与不勾就看使用者的侧重点,是安全重要还是性能浏览的速度重要,完全取决与用户,而且我也很同意sob2007兄的观点"杀软是死的,人是活的,人永远不能太依赖杀软"
taihuxian
发表于 2007-8-26 16:58:00 | 显示全部楼层
原帖由 sob2007 于 2007-8-26 16:37 发表


每一个人都不是神,况乎杀软。这样评价fs,有失中肯,毕竟fs还是提示了suchost,给予了我一个思路,投石问路,还是很有乐趣的,毕竟,乐趣都给杀软了,那我就成笨蛋了!

把玩病毒,最有乐趣,运用之妙, ...

lz点了deny的哦
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 18:42 , Processed in 0.123621 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表