这弹窗有点雷

显示全部楼层 · 发表于 2013-3-2 21:47:12

别说看不懂截图
这弹窗不得不让我想一想
费尔对于白加黑的拦截是提前对一些样本设置的规则吧？
比如针对456的白+黑
这规则包括文件特征和路径等
有兴趣的同学可以通过修改路径等来验证下
我是不带测试了...
并不是真正能识别dll劫持吧

而遇到真正针对性白+黑，困怕也得哑火了

显示全部楼层 · 发表于 2013-3-2 21:50:47

今天还碰到过一个过费尔的白加黑http://l4.yunpan.cn/lk/Q8ypRepWhruVn
至于测试，我个人认为，不是单单针对456的，规则是有的，可能是关于所有白加黑...

显示全部楼层 · 发表于 2013-3-2 21:51:55

windows7爱好者发表于 2013-3-2 21:50
今天还碰到过一个过费尔的白加黑http://l4.yunpan.cn/lk/Q8ypRepWhruVn
至于测试，我个人认为，不是单单针 ...

嗯，那样本是我在爱毒霸看得到的

显示全部楼层 · 发表于 2013-3-2 21:52:02

样本呢，我玩玩

显示全部楼层 · 发表于 2013-3-2 21:53:05

夜微凉发表于 2013-3-2 21:52
样本呢，我玩玩

样板区找我发那些白+黑
不过截图你也看出来了..里面有问题

显示全部楼层 · 发表于 2013-3-2 21:54:24

第一次看到0分的弹窗，另外这个截图是说“该文件试图改写敏感位置的文件”，费尔貌似对系统关键位置默认保护。

显示全部楼层 · 发表于 2013-3-2 21:54:40

夜微凉发表于 2013-3-2 21:52
样本呢，我玩玩

我发了地址了，这个你测试过，我在费尔区单独发了帖子，你上报了，这会依然过...

显示全部楼层 · 发表于 2013-3-2 21:55:39

windows7爱好者发表于 2013-3-2 21:54
我发了地址了，这个你测试过，我在费尔区单独发了帖子，你上报了，这会依然过...

就是那个178？

显示全部楼层 · 发表于 2013-3-2 21:55:50

中国崛起发表于 2013-3-2 21:54
第一次看到0分的弹窗，另外这个截图是说“该文件试图改写敏感位置的文件”，费尔貌似对系统关键位置默认保护 ...

这不是问题，看我运行样本的路径和他弹窗提示的路径

显示全部楼层 · 发表于 2013-3-2 21:56:19

夜微凉发表于 2013-3-2 21:55
就是那个178？

嗯，就是那个

[费尔] 这弹窗有点雷