关闭毛豆沙盘，看看你能不能拦截到这两个毒网

显示全部楼层 · 发表于 2013-1-17 22:53:58

默认规则哦虚拟机哦 Fan{过}{滤}Qiang哦 jre-7u9-windows-i586哦

后果自负哦

http://bbs.kafan.cn/thread-1450031-1-1.html

http://bbs.kafan.cn/thread-1450023-1-1.html

显示全部楼层 · 发表于 2013-1-18 09:49:32

浏览器整个儿在SBIE中哦

显示全部楼层 · 发表于 2013-1-18 10:08:31

本帖最后由 a256886572008 于 2013-1-18 10:23 编辑

楼主该不会想说这一项吧？

2013-01-18 09:53:07 C:\WINDOWS\explorer.exe Create Process C:\virus\130117\wgsdgsdgdsgsd.exe

2013-01-18 09:53:18 C:\virus\130117\wgsdgsdgdsgsd.exe Direct Keyboard Access C:\WINDOWS\system32\MSCTF.dll

2013-01-18 09:53:33 C:\virus\130117\wgsdgsdgdsgsd.exe Direct Disk Access C:\

2013-01-18 09:54:07 C:\virus\130117\wgsdgsdgdsgsd.exe Create Process C:\WINDOWS\system32\rundll32.exe

單開HIPS，默認規則，沒有被添加啟動項。

開HIPS，有個麻煩的地方，阻止執行rundll32.exe，後面的行為就看不見了。

显示全部楼层 · 发表于 2013-1-18 10:38:40

a256886572008 发表于 2013-1-18 10:08
楼主该不会想说这一项吧？

V5怎么没有这一步呢

这是全开还是单开毛豆某一项？

显示全部楼层 · 发表于 2013-1-18 10:39:17

a256886572008 发表于 2013-1-18 10:08
楼主该不会想说这一项吧？

開HIPS，有個麻煩的地方，阻止執行rundll32.exe，後面的行為就看不見了。

复制代码

不阻止呢？

显示全部楼层 · 发表于 2013-1-18 10:39:53

bluelaser 发表于 2013-1-18 09:49
浏览器整个儿在SBIE中哦

可不是嘛，要不虚拟机就废废了

显示全部楼层 · 发表于 2013-1-18 10:52:59

firefox3 发表于 2013-1-18 10:39
不阻止呢？

那個是用 HIPS 的基本常識，不信任執行信任，要點阻止。

因為規則不會繼承。

显示全部楼层 · 发表于 2013-1-18 11:07:33

a256886572008 发表于 2013-1-18 10:52
那個是用 HIPS 的基本常識，不信任執行信任，要點阻止。

因為規則不會繼承。

挺不住了，马上换V6

显示全部楼层 · 发表于 2013-1-18 12:32:54

firefox3 发表于 2013-1-18 11:07
挺不住了，马上换V6

重新測試，這次我只阻止下面這一個，其他全允許。

2013-01-18 11:54:39 C:\virus\130117\wgsdgsdgdsgsd.exe Create Process C:\WINDOWS\system32\rundll32.exe

重啟之後還是沒事，沒被添加啟動項。

显示全部楼层 · 发表于 2013-1-18 12:37:52

a256886572008 发表于 2013-1-18 12:32
重新測試，這次我只阻止下面這一個，其他全允許。

我晕啊 a大，我刚才又进 Cool exploit kit 没开BB，还是被锁，这回我开BB开沙盘进去看看
连网址都没记录就被锁了，真的是和SBie有冲突吗？？？

[其他相关] 关闭毛豆沙盘，看看你能不能拦截到这两个毒网