穿破 V6 partially limited,limited,restricted 和 HIPS

卡卡西瓜

bbbxyoiil 发表于 2013-2-22 22:51
全穿了，重装系统

VM和SBIE也穿了？

gd8888

对于DW来说，只是小菜一碟，运行后被自动禁止。


DefenseWall log file

02.23.2013  02:01:49, 模块 C:\Documents and Settings\*\桌面\FlashPlayer_11_4_update_for_Win\FlashPlayer_11_4_update_for_Win.exe, Attempt to open process C:\WINDOWS\explorer.exe (进程)

02.23.2013  02:01:49, 模块 C:\Documents and Settings\*\桌面\FlashPlayer_11_4_update_for_Win\FlashPlayer_11_4_update_for_Win.exe, Open process memory allocation error (内存)

02.23.2013  02:01:44, 模块 C:\Documents and Settings\*\桌面\FlashPlayer_11_4_update_for_Win\FlashPlayer_11_4_update_for_Win.exe, 1:Process is running untrusted now (进程)

02.23.2013  02:01:04, 模块 C:\Program Files\WinRAR\WinRAR.exe, Attempt to set value AppData within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\ (注册表)

02.23.2013  02:01:04, 模块 C:\Program Files\WinRAR\WinRAR.exe, Attempt to delete service (服务)

02.23.2013  02:01:03, 模块 C:\Program Files\WinRAR\WinRAR.exe, 2:Process is running untrusted now (进程)

adair

a256886572008 发表于 2013-1-25 15:59
這樣看來，就是 V6 的問題了。

還有，FD 不用加* 規則，這隻不會搞破壞。

原来这样，我之前测试时，FD没加 *，然后貌似在阻止访问explorer后就结束了。昨天又试了下，所有监控项都是阻止，FD 、RD、COM 全部加 *，仅仅允许了FD的\Device\KsecDD, 这项是所有程序初始化必须的。然后BB选不限制，结果桌面消失，任务管理器调不出来。日志项中没有拦截访问explorer的记录，只能认为毛豆省略了某些监控项，要么就是针对毛豆定制的

a256886572008

adair 发表于 2013-2-24 13:19
原来这样，我之前测试时，FD没加 *，然后貌似在阻止访问explorer后就结束了。昨天又试了下，所有监控项 ...

這個病毒，只會穿破 XP 32bit 下的 comodo，其他系統不會。

Candygu

a256886572008 发表于 2013-2-24 18:09
這個病毒，只會穿破 XP 32bit 下的 comodo，其他系統不會。

a2，升级一下系统吧

星之梦

看来未知程序沙盘级别是不信任很有必要。

dl123100

能过hips注入explorer的话 看起来像是eset宣传的那个

a256886572008

dl123100 发表于 2013-2-27 11:19
能过hips注入explorer的话 看起来像是eset宣传的那个

請問有帖子嗎？

dl123100

a256886572008 发表于 2013-2-27 13:32
請問有帖子嗎？

我不知道是不是下面提到的病毒
http://www.welivesecurity.com/20 ... steps-of-evolution/

a256886572008

dl123100 发表于 2013-2-27 13:37
我不知道是不是下面提到的病毒
http://www.welivesecurity.com/2012/12/27/win32gapz-steps-of-evolutio ...

Win32/Gapz 就不是了

樣本:
http://bbs.kafan.cn/thread-1436065-1-1.html