QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？

leisong

sxyuqiao 发表于 2012-3-10 18:34
我这里还在测试

郑伟的测试很清楚了，由于毒霸已经入库，人工置灰后会弹出结束QQ的弹窗的

他的测试图呢？他是习惯于文字的，光说说就很清楚了？！

你的测试结果呢？

请贴图。

至于360，早就能拦截了，是真正的动作防御，修改任意特征没有影响的主防，这里不谈以免口水。需要的话去360区找我的测试贴。

sxyuqiao

leisong 发表于 2012-3-10 18:35
他的测试图呢？

你的测试结果呢？

郑伟的请看此帖http://bbs.kafan.cn/thread-1233143-1-1.html 3楼，已经是人工置灰过了的

我这里还没置灰测试，直接运行的








毒霸杀这几个不是一天两天的事情了
你这个金山清理的样本貌似很早就有了啊，而且毒霸标明了是第三方loader
你说是dll文件名入库么

sxyuqiao

leisong 发表于 2012-3-10 18:35
他的测试图呢？他是习惯于文字的，光说说就很清楚了？！

你的测试结果呢？

我没想口水，只是想知道360的原理，你的帖子看到的都是那些酸水，
希望你能给我简明讲一下

郑伟用户

sxyuqiao 发表于 2012-3-10 18:44
我没想口水，只是想知道360的原理，你的帖子看到的都是那些酸水，
希望你能给我简明讲一下

360的原理在简单不过，其实要拦截这类样本根本不需要那样花里胡哨的功能，我换个粘虫样本照样过他

钟馗见鬼

郑伟用户 发表于 2012-3-10 18:49
360的原理在简单不过，其实要拦截这类样本根本不需要那样花里胡哨的功能，我换个粘虫样本照样过他

欢迎试用360。
你的样本在哪里？

sxyuqiao

郑伟用户 发表于 2012-3-10 18:49
360的原理在简单不过，其实要拦截这类样本根本不需要那样花里胡哨的功能，我换个粘虫样本照样过他

我看楼主的帖子，什么之前是网盾联动，现在不需要网盾联动直接系统维度查杀，，，实在是搞不清楚。

毒霸直接拦截第三方loader和拦截注入结束就好了呗。

leisong

sxyuqiao 发表于 2012-3-10 18:44
我没想口水，只是想知道360的原理，你的帖子看到的都是那些酸水，
希望你能给我简明讲一下

1、我要的现在的测试截图，他现在已经溜了不敢回应了。

2、退一步讲，拦截结束QQ进程有效吗？我先运行黏虫后运行QQ呢？怎么拦？我提过这个问题了，被你们选择性回避了。

3、360是拦截黏虫覆盖框和键盘记录，你看它的拦截截图不就明白了。这是真正的动作拦截，无惧一切特征修改，也无惧黏虫和QQ的运行顺序。

leisong

sxyuqiao 发表于 2012-3-10 18:41
郑伟的请看此帖http://bbs.kafan.cn/thread-1233143-1-1.html 3楼，已经是人工置灰过了的

我这里还没 ...

是不是文件名入库我主F测试得这么简单易懂，你自己不会实行一下么？


你弄个0字节的记事本文件改名为KIS.DLL，金山还是这个弹框，不是文件名是什么呢？

=================毒霸直接拦截第三方loader和拦截注入结束就好了呗================

问题主程序加壳就不拦截了，还好了呗，过得太小白了吧

另外和你们讨论真正的问题真的很吃力，太能绕了。

sxyuqiao

leisong 发表于 2012-3-10 18:52
1、我要的现在的测试截图，他现在已经溜了不敢回应了。

2、退一步讲，拦截结束QQ进程有效吗？我先运行 ...

360的原理懂了

你的样本对QQ2012有效么，我关了系统防御，用MD，先运行样本后运行QQ，没发现什么对QQ的动作啊

leisong

sxyuqiao 发表于 2012-3-10 18:55
360的原理懂了

你的样本对QQ2012有效么，我关了系统防御，用MD，没发现什么对QQ的动作啊

这个黏虫出来的时候，还没QQ2012，所以黏虫对QQ2012可能无效。