調用 wuauclt.exe 作壞事

显示全部楼层 · 发表于 2012-5-24 11:17:32

wenjian312 发表于 2012-5-24 11:16
你这是交互模式？
就算是正常软件，每步也会拦截的，个人觉得这个不能说明问题

是的，我只是看一下动作。

显示全部楼层 · 发表于 2012-5-24 11:21:43

humanlwj52 发表于 2012-5-24 11:11

第一步

显示全部楼层 · 发表于 2012-5-24 11:27:46

humanlwj52 发表于 2012-5-24 11:11

询问框应该改进一下，操作在程序和目标的中间非常不起眼。
而上方的主标签很醒目，但却是无用信息。

显示全部楼层 · 发表于 2012-5-24 11:28:18

firefox3 发表于 2012-5-24 11:21
第一步

交互模式的弹窗实在是太多，用了规则可能会好很多。

显示全部楼层 · 发表于 2012-5-24 11:30:08

humanlwj52 发表于 2012-5-24 11:28
交互模式的弹窗实在是太多，用了规则可能会好很多。

先开学习模式

显示全部楼层 · 发表于 2012-5-24 11:30:22

本帖最后由 sanhu35 于 2012-5-24 11:31 编辑

允许调用，拦截修改内存此病毒就废了。
所以说调不调用是无所谓的，只要守护进程不被控制就行了。
而毛豆没有拦截修改这一步，不知道疯狂模式的拦截是怎么样的。

当然如果允许调用和控制后还能够拦截，那是双重防护更好

2012-5-24 11:28:13 修改其他进程的内存阻止
进程: c:\documents and settings\administrator\桌面\调用 wuauclt.exe做事\a9129_3.exe
目标: c:\windows\system32\wuauclt.exe
规则: [应用程序]*

显示全部楼层 · 发表于 2012-5-24 11:30:33

大蜘蛛扫描杀

显示全部楼层 · 发表于 2012-5-24 11:35:14

后门程序，大蜘蛛：
a9129_3.EXE infected with BackDoor.Andromeda.22

显示全部楼层 · 发表于 2012-5-24 11:38:01

本帖最后由 a256886572008 于 2012-5-24 11:41 编辑

sanhu35 发表于 2012-5-24 11:30
允许调用，拦截修改内存此病毒就废了。
所以说调不调用是无所谓的，只要守护进程不被控制就行了。
而毛豆 ...

comodo 的彈窗，裡面就寫了。

一旦允許父進程執行子進程，父進程將能獲得完全控制子進程的權限。

---------------------
所以，手動 HIPS 下，病毒執行 wuauclt.exe 這一步，必須阻止。

---------------------
還有，你那個攔截步驟有隱患哦。

在安裝多款安軟的電腦內，隨便一個父進程運行子進程之後，HIPS 都會彈窗說父進程修改子進程的內存。

但實際上，並沒有控制。

這就是新款 HIPS，放棄攔截 "父進程修改子進程的內存" 的原因。

显示全部楼层 · 发表于 2012-5-24 11:41:24

firefox3 发表于 2012-5-24 11:16
怎么会只有自保规则？？

我指的是默认规则下，不会有拦截动作
如果你开交互，ESET对每个软件几乎每个动作都会拦截，
对于一般人来说根本无法判断是否允许，也说明不了这个软件是不是正常

[病毒样本] 調用 wuauclt.exe 作壞事

评分