收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 原创工具区 火绒盾,加油啊,还不行
12
返回列表 发新帖
楼主: 袁帅
 收起左侧

[讨论] 火绒盾,加油啊,还不行

[复制链接]
oy-ll
头像被屏蔽
发表于 2012-9-13 00:54:27 | 显示全部楼层
袁帅 发表于 2012-9-11 21:18
这里这么强的HIPS都没一个防住的http://bbs.kafan.cn/thread-1211023-1-1.html

找时间各个样本测试了下,我的MD规则完美防御(为了更有说服力完全是实机分别在系统目录和非系统分区各测了一次)
2012-9-13 00:22:21    创建文件    阻止
进程: d:\pipicache\1.infector.sola2\sola2.exe
目标: D:\pipicache\1.Infector.SOLA2\Function.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:22:21    创建文件    阻止
进程: d:\pipicache\1.infector.sola2\sola2.exe
目标: D:\pipicache\1.Infector.SOLA2\SOLA_2.0_292993138726391.bat
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.bat

2012-9-13 00:22:21    创建文件    阻止
进程: d:\pipicache\1.infector.sola2\sola2.exe
目标: D:\pipicache\1.Infector.SOLA2\3.txt
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.txt

2012-9-13 00:23:06    创建新进程    阻止
进程: c:\windows\explorer.exe
目标: c:\windows\system32\msiexec.exe
命令行: "C:\WINDOWS\System32\msiexec.exe"  /i "D:\pipicache\3.Adware.播放器\播放器.msi"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\*

2012-9-13 00:24:35    加载动态链接库    阻止
进程: c:\windows\notepad.exe
目标: c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
规则: [应用程序组]【WINDOWS目录通用组】

2012-9-13 00:24:41    结束其他进程    阻止
进程: c:\windows\system32\csrss.exe
目标: c:\windows\notepad.exe
规则: [应用程序]c:\windows\system32\csrss.exe

2012-9-13 00:25:36    修改文件    阻止
进程: d:\pipicache\4.backdoor.尘土220\尘土220\尘土220.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]【命名管道组】 -> [文件]\device\namedpipe\*

2012-9-13 00:25:36    修改其他进程的内存    阻止
进程: d:\pipicache\4.backdoor.尘土220\尘土220\尘土220.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]【绿色软件组】

2012-9-13 00:27:12    创建文件    阻止
进程: d:\pipicache\5.downloader.xinqidian(1)\xinqidian.exe
目标: C:\WINDOWS\system32\Killer10.sys
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.sys

2012-9-13 00:27:13    创建文件    阻止
进程: d:\pipicache\5.downloader.xinqidian(1)\xinqidian.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\dll843.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:27:15    安装驱动程序或服务    阻止
进程: d:\pipicache\5.downloader.xinqidian(1)\xinqidian.exe
目标: C:\WINDOWS\system32\Killer10.sys
规则: [应用程序组]【绿色软件组】

2012-9-13 00:27:50    删除文件    阻止
进程: c:\program files\sogouinput\6.2.0.7270\pinyinup.exe

2012-9-13 00:28:41    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\1347467321.dat
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.dat

2012-9-13 00:28:41    创建新进程    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: c:\windows\system32\net.exe
命令行: net stop cryptsvc
规则: [应用程序组]【WINDOWS目录通用组】 -> [应用程序]c:\windows\system32\*.exe

2012-9-13 00:28:41    创建新进程    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: c:\windows\system32\sc.exe
命令行: sc config cryptsvc start= disabled
规则: [应用程序组]【WINDOWS目录通用组】 -> [应用程序]c:\windows\system32\*.exe

2012-9-13 00:28:42    创建新进程    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: c:\windows\system32\sc.exe
命令行: sc delete cryptsvc
规则: [应用程序组]【WINDOWS目录通用组】 -> [应用程序]c:\windows\system32\*.exe

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\yuksuser.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    删除文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\ksuser.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\TEM3E.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:28:42    删除文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\ksuser.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\TEM3F.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:28:42    修改文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\ksuser.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\yumidimap.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    删除文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\midimap.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\TEM40.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:28:42    删除文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\midimap.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\TEM41.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:28:42    修改文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\midimap.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\yumsimg32.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    删除文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\msimg32.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\TEM42.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:28:42    删除文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\msimg32.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\TEM43.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:28:42    修改文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\msimg32.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    修改文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: D:\pipicache\6.Backdoor.expie(1)\G.exe
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.exe

2012-9-13 00:28:42    修改注册表值    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:29:32    读文件夹    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\Program Files\AliWangWang\profiles\system
规则: [应用程序组]【绿色软件组】 -> [文件组]【私密资料组】 -> [文件]c:\program files\aliwangwang\profiles

2012-9-13 00:29:32    读文件夹    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\Program Files\AliWangWang\profiles\cntaobaojxlll0526
规则: [应用程序组]【绿色软件组】 -> [文件组]【私密资料组】 -> [文件]c:\program files\aliwangwang\profiles

2012-9-13 00:29:32    读文件夹    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\Program Files\AliWangWang\profiles\cntaobao1761502959
规则: [应用程序组]【绿色软件组】 -> [文件组]【私密资料组】 -> [文件]c:\program files\aliwangwang\profiles

2012-9-13 00:29:33    创建新进程    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: c:\windows\system32\rundll32.exe
命令行:  C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1347467321.dat, ServerMain d:\pipicache\6.backdoor.expie(1)\g.exe
规则: [应用程序组]【绿色软件组】 -> [子应用程序]*

2012-9-13 00:30:27    创建文件    阻止
进程: d:\pipicache\7.backdoor.whhfd\whhfd.exe
目标: C:\Program Files\Common Files\whh11003.ocx
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.ocx

2012-9-13 00:30:27    创建文件    阻止
进程: d:\pipicache\7.backdoor.whhfd\whhfd.exe
目标: C:\WINDOWS\system32\whhfd008.ocx
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.ocx

2012-9-13 00:30:27    创建文件    阻止
进程: d:\pipicache\7.backdoor.whhfd\whhfd.exe
目标: C:\Program Files\Common Files\001777D0ce.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:32:16    创建文件    阻止
进程: d:\pipicache\8.backdoor.systmp\systmp.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\zt2.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:32:16    创建新进程    阻止
进程: d:\pipicache\8.backdoor.systmp\systmp.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c rundll32.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zt2.tmp1 St D:\pipicache\8.Backdoor.systmp\systmp.exe
规则: [应用程序组]【WINDOWS目录具体组】 -> [应用程序]c:\windows\system32\cmd.exe

2012-9-13 00:32:16    创建文件    阻止
进程: d:\pipicache\8.backdoor.systmp\systmp.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\del.bat
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.bat



2012-9-13 00:42:56    创建新进程    阻止
进程: c:\windows\explorer.exe
目标: c:\windows\system32\systmp.exe
命令行: "C:\WINDOWS\system32\systmp.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\*

2012-9-13 00:43:18    创建新进程    阻止
进程: c:\windows\system32\systmp.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c rundll32.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zt2.tmp1 St C:\WINDOWS\system32\systmp.exe
规则: [应用程序组]【WINDOWS目录具体组】 -> [应用程序]c:\windows\system32\cmd.exe

2012-9-13 00:43:18    创建文件    阻止
进程: c:\windows\system32\systmp.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\del.bat
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.bat

2012-9-13 00:44:57    创建新进程    阻止
进程: c:\windows\explorer.exe
目标: c:\windows\system32\whhfd.exe
命令行: "C:\WINDOWS\system32\WHHFD.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\*

2012-9-13 00:45:11    创建文件    阻止
进程: c:\windows\system32\whhfd.exe
目标: C:\Program Files\Common Files\whh11003.ocx
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.ocx

2012-9-13 00:45:11    创建文件    阻止
进程: c:\windows\system32\whhfd.exe
目标: C:\WINDOWS\system32\whhfd008.ocx
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.ocx

2012-9-13 00:45:11    创建文件    阻止
进程: c:\windows\system32\whhfd.exe
目标: C:\Program Files\Common Files\0024F3D6ce.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:45:51    创建新进程    阻止
进程: c:\windows\explorer.exe
目标: c:\windows\system32\g.exe
命令行: "C:\WINDOWS\system32\G.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\*

2012-9-13 00:46:06    创建新进程    阻止
进程: c:\windows\system32\g.exe
目标: c:\windows\system32\net.exe
命令行: net stop cryptsvc
规则: [应用程序组]【WINDOWS目录通用组】 -> [子应用程序]*.exe

2012-9-13 00:46:06    创建新进程    阻止
进程: c:\windows\system32\g.exe
目标: c:\windows\system32\sc.exe
命令行: sc config cryptsvc start= disabled
规则: [应用程序组]【WINDOWS目录通用组】 -> [子应用程序]*.exe

2012-9-13 00:46:06    创建新进程    阻止
进程: c:\windows\system32\g.exe
目标: c:\windows\system32\sc.exe
命令行: sc delete cryptsvc
规则: [应用程序组]【WINDOWS目录通用组】 -> [子应用程序]*.exe

2012-9-13 00:46:06    创建文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\yuksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    删除文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\ksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\ksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\ksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    删除文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\ksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\ksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\ksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    创建文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\yumidimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    删除文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\midimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\midimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\midimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    删除文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\midimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\midimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\midimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    创建文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\yumsimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    删除文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\msimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\msimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\msimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    删除文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\msimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:07    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\msimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:07    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:07    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\msimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:07    创建文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\sysapp10.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:07    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\G.exe
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.exe

2012-9-13 00:46:07    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:20    创建新进程    阻止
进程: c:\windows\system32\g.exe
目标: c:\windows\system32\rundll32.exe
命令行:  C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1347468365.dat, ServerMain c:\windows\system32\g.exe
规则: [应用程序组]【WINDOWS目录通用组】 -> [子应用程序]*.exe

回复

举报

oy-ll
头像被屏蔽
发表于 2012-9-13 19:33:18 | 显示全部楼层
袁帅 发表于 2012-9-11 21:18
这里这么强的HIPS都没一个防住的http://bbs.kafan.cn/thread-1211023-1-1.html

对我的纯手动HIPS来说,毫无压力,以下为将测试病毒放在非系统盘和系统目录下运行测试结果(实际使用当中不是那么容易突破FD的)。
2012-9-13 00:22:21    创建文件    阻止
进程: d:\pipicache\1.infector.sola2\sola2.exe
目标: D:\pipicache\1.Infector.SOLA2\Function.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:22:21    创建文件    阻止
进程: d:\pipicache\1.infector.sola2\sola2.exe
目标: D:\pipicache\1.Infector.SOLA2\SOLA_2.0_292993138726391.bat
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.bat

2012-9-13 00:22:21    创建文件    阻止
进程: d:\pipicache\1.infector.sola2\sola2.exe
目标: D:\pipicache\1.Infector.SOLA2\3.txt
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.txt

2012-9-13 00:23:06    创建新进程    阻止
进程: c:\windows\explorer.exe
目标: c:\windows\system32\msiexec.exe
命令行: "C:\WINDOWS\System32\msiexec.exe"  /i "D:\pipicache\3.Adware.播放器\播放器.msi"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\*

2012-9-13 00:24:35    加载动态链接库    阻止
进程: c:\windows\notepad.exe
目标: c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
规则: [应用程序组]【WINDOWS目录通用组】

2012-9-13 00:24:41    结束其他进程    阻止
进程: c:\windows\system32\csrss.exe
目标: c:\windows\notepad.exe
规则: [应用程序]c:\windows\system32\csrss.exe

2012-9-13 00:25:36    修改文件    阻止
进程: d:\pipicache\4.backdoor.尘土220\尘土220\尘土220.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]【命名管道组】 -> [文件]\device\namedpipe\*

2012-9-13 00:25:36    修改其他进程的内存    阻止
进程: d:\pipicache\4.backdoor.尘土220\尘土220\尘土220.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]【绿色软件组】

2012-9-13 00:27:12    创建文件    阻止
进程: d:\pipicache\5.downloader.xinqidian(1)\xinqidian.exe
目标: C:\WINDOWS\system32\Killer10.sys
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.sys

2012-9-13 00:27:13    创建文件    阻止
进程: d:\pipicache\5.downloader.xinqidian(1)\xinqidian.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\dll843.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:27:15    安装驱动程序或服务    阻止
进程: d:\pipicache\5.downloader.xinqidian(1)\xinqidian.exe
目标: C:\WINDOWS\system32\Killer10.sys
规则: [应用程序组]【绿色软件组】

2012-9-13 00:27:50    删除文件    阻止
进程: c:\program files\sogouinput\6.2.0.7270\pinyinup.exe

2012-9-13 00:28:41    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\1347467321.dat
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.dat

2012-9-13 00:28:41    创建新进程    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: c:\windows\system32\net.exe
命令行: net stop cryptsvc
规则: [应用程序组]【WINDOWS目录通用组】 -> [应用程序]c:\windows\system32\*.exe

2012-9-13 00:28:41    创建新进程    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: c:\windows\system32\sc.exe
命令行: sc config cryptsvc start= disabled
规则: [应用程序组]【WINDOWS目录通用组】 -> [应用程序]c:\windows\system32\*.exe

2012-9-13 00:28:42    创建新进程    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: c:\windows\system32\sc.exe
命令行: sc delete cryptsvc
规则: [应用程序组]【WINDOWS目录通用组】 -> [应用程序]c:\windows\system32\*.exe

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\yuksuser.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    删除文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\ksuser.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\TEM3E.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:28:42    删除文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\ksuser.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\TEM3F.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:28:42    修改文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\ksuser.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\yumidimap.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    删除文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\midimap.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\TEM40.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:28:42    删除文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\midimap.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\TEM41.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:28:42    修改文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\midimap.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\yumsimg32.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    删除文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\msimg32.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\TEM42.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:28:42    删除文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\msimg32.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    创建文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\TEM43.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:28:42    修改文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\WINDOWS\system32\dllcache\msimg32.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:28:42    修改文件    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: D:\pipicache\6.Backdoor.expie(1)\G.exe
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.exe

2012-9-13 00:28:42    修改注册表值    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:29:32    读文件夹    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\Program Files\AliWangWang\profiles\system
规则: [应用程序组]【绿色软件组】 -> [文件组]【私密资料组】 -> [文件]c:\program files\aliwangwang\profiles

2012-9-13 00:29:32    读文件夹    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\Program Files\AliWangWang\profiles\cntaobaojxlll0526
规则: [应用程序组]【绿色软件组】 -> [文件组]【私密资料组】 -> [文件]c:\program files\aliwangwang\profiles

2012-9-13 00:29:32    读文件夹    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: C:\Program Files\AliWangWang\profiles\cntaobao1761502959
规则: [应用程序组]【绿色软件组】 -> [文件组]【私密资料组】 -> [文件]c:\program files\aliwangwang\profiles

2012-9-13 00:29:33    创建新进程    阻止
进程: d:\pipicache\6.backdoor.expie(1)\g.exe
目标: c:\windows\system32\rundll32.exe
命令行:  C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1347467321.dat, ServerMain d:\pipicache\6.backdoor.expie(1)\g.exe
规则: [应用程序组]【绿色软件组】 -> [子应用程序]*

2012-9-13 00:30:27    创建文件    阻止
进程: d:\pipicache\7.backdoor.whhfd\whhfd.exe
目标: C:\Program Files\Common Files\whh11003.ocx
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.ocx

2012-9-13 00:30:27    创建文件    阻止
进程: d:\pipicache\7.backdoor.whhfd\whhfd.exe
目标: C:\WINDOWS\system32\whhfd008.ocx
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.ocx

2012-9-13 00:30:27    创建文件    阻止
进程: d:\pipicache\7.backdoor.whhfd\whhfd.exe
目标: C:\Program Files\Common Files\001777D0ce.dll
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:32:16    创建文件    阻止
进程: d:\pipicache\8.backdoor.systmp\systmp.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\zt2.tmp
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局允许文件组】 -> [文件]*; *.tmp

2012-9-13 00:32:16    创建新进程    阻止
进程: d:\pipicache\8.backdoor.systmp\systmp.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c rundll32.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zt2.tmp1 St D:\pipicache\8.Backdoor.systmp\systmp.exe
规则: [应用程序组]【WINDOWS目录具体组】 -> [应用程序]c:\windows\system32\cmd.exe

2012-9-13 00:32:16    创建文件    阻止
进程: d:\pipicache\8.backdoor.systmp\systmp.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\del.bat
规则: [应用程序组]【绿色软件组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.bat



2012-9-13 00:42:56    创建新进程    阻止
进程: c:\windows\explorer.exe
目标: c:\windows\system32\systmp.exe
命令行: "C:\WINDOWS\system32\systmp.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\*

2012-9-13 00:43:18    创建新进程    阻止
进程: c:\windows\system32\systmp.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c rundll32.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zt2.tmp1 St C:\WINDOWS\system32\systmp.exe
规则: [应用程序组]【WINDOWS目录具体组】 -> [应用程序]c:\windows\system32\cmd.exe

2012-9-13 00:43:18    创建文件    阻止
进程: c:\windows\system32\systmp.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\del.bat
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.bat

2012-9-13 00:44:57    创建新进程    阻止
进程: c:\windows\explorer.exe
目标: c:\windows\system32\whhfd.exe
命令行: "C:\WINDOWS\system32\WHHFD.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\*

2012-9-13 00:45:11    创建文件    阻止
进程: c:\windows\system32\whhfd.exe
目标: C:\Program Files\Common Files\whh11003.ocx
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.ocx

2012-9-13 00:45:11    创建文件    阻止
进程: c:\windows\system32\whhfd.exe
目标: C:\WINDOWS\system32\whhfd008.ocx
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.ocx

2012-9-13 00:45:11    创建文件    阻止
进程: c:\windows\system32\whhfd.exe
目标: C:\Program Files\Common Files\0024F3D6ce.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:45:51    创建新进程    阻止
进程: c:\windows\explorer.exe
目标: c:\windows\system32\g.exe
命令行: "C:\WINDOWS\system32\G.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\*

2012-9-13 00:46:06    创建新进程    阻止
进程: c:\windows\system32\g.exe
目标: c:\windows\system32\net.exe
命令行: net stop cryptsvc
规则: [应用程序组]【WINDOWS目录通用组】 -> [子应用程序]*.exe

2012-9-13 00:46:06    创建新进程    阻止
进程: c:\windows\system32\g.exe
目标: c:\windows\system32\sc.exe
命令行: sc config cryptsvc start= disabled
规则: [应用程序组]【WINDOWS目录通用组】 -> [子应用程序]*.exe

2012-9-13 00:46:06    创建新进程    阻止
进程: c:\windows\system32\g.exe
目标: c:\windows\system32\sc.exe
命令行: sc delete cryptsvc
规则: [应用程序组]【WINDOWS目录通用组】 -> [子应用程序]*.exe

2012-9-13 00:46:06    创建文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\yuksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    删除文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\ksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\ksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\ksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    删除文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\ksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\ksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\ksuser.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    创建文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\yumidimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    删除文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\midimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\midimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\midimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    删除文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\midimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\midimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\midimap.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    创建文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\yumsimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    删除文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\msimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\msimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:06    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\msimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:06    删除文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\msimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:07    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\msimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:07    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:07    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\dllcache\msimg32.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:07    创建文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\sysapp10.dll
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.dll

2012-9-13 00:46:07    修改文件    阻止
进程: c:\windows\system32\g.exe
目标: C:\WINDOWS\system32\G.exe
规则: [应用程序组]【WINDOWS目录通用组】 -> [文件组]【全局监控文件组】 -> [文件]*; *.exe

2012-9-13 00:46:07    修改注册表值    阻止
进程: c:\windows\system32\g.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp_history.dat.tmp  \??\C:\DOCUME~1\ADM
规则: [注册表组]【系统重要项保护】 -> [注册表]*\SYSTEM\CurrentControlSet\Control\Session Manager\*

2012-9-13 00:46:20    创建新进程    阻止
进程: c:\windows\system32\g.exe
目标: c:\windows\system32\rundll32.exe
命令行:  C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1347468365.dat, ServerMain c:\windows\system32\g.exe
规则: [应用程序组]【WINDOWS目录通用组】 -> [子应用程序]*.exe

回复

举报

279696866
发表于 2012-9-16 20:26:37 | 显示全部楼层
那还是先卸载了吧
回复

举报

ccsfuture
发表于 2012-10-6 21:52:12 | 显示全部楼层
慢慢完善吧 规则还是太少
回复

举报

心跳回忆
发表于 2012-10-6 22:29:52 | 显示全部楼层
jzx8270056 发表于 2012-9-10 15:56

不要纯表哦
回复

举报

至尊潮流
发表于 2012-10-6 23:23:04 | 显示全部楼层
oy-ll 发表于 2012-9-11 13:07
我还是相信手动HIPS,相信自己的规则才是最适合自己电脑环境的。楼主能不能把那什么杀手病毒共享一下试下自 ...

http://bbs.kafan.cn/forum.php?mo ... =1386541&extra=
地址
回复

举报

tuw
发表于 2012-10-7 01:10:50 | 显示全部楼层
实测
spyshelter firewall
通过~
回复

举报

oy-ll
头像被屏蔽
发表于 2012-10-7 07:07:46 | 显示全部楼层
至尊潮流 发表于 2012-10-6 23:23
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1386541&extra=
地址

对于手动HIPS来说防这类脚本型和批处理类的恶意程序太简单了。只要以白名单形式防止运行相应脚本解释器和CMD即可,当然除了这一道防御,在FD这一关也可对相应类型的文件进行防护。
2012/10/7 06:59:22    创建新进程    阻止
进程: c:\windows\explorer.exe
目标: c:\windows\system32\wscript.exe
命令行: "C:\windows\System32\WScript.exe" "D:\两句话杀手\两句话杀手.vbs"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\*

回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 04:29 , Processed in 0.182015 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表