诺顿惊现注入代码拦截

显示全部楼层 · 发表于 2013-6-9 17:13:16

样本地址：http://bbs.kafan.cn/thread-1581128-1-1.html

21楼

免费搬砖

建议诺顿区样本测试员测试的时候开手动档，会有惊喜

显示全部楼层 · 发表于 2013-6-9 19:35:00

这个我记得我上报过一个，前几天测试的时候还没这个提示。

显示全部楼层 · 发表于 2013-6-9 19:36:43

唔，我突然想起某个测试员测试拦截之后……诺顿崩溃了……貌似是消停（不是这个样本）

显示全部楼层 · 发表于 2013-6-9 19:44:30

蓝核发表于 2013-6-9 19:36
唔，我突然想起某个测试员测试拦截之后……诺顿崩溃了……貌似是消停（不是这个样本）

你想说什么？

显示全部楼层 · 发表于 2013-6-9 19:46:25

墨家小子发表于 2013-6-9 19:44
你想说什么？

唔，高端黑路过……不说话不留把柄……

显示全部楼层 · 发表于 2013-6-9 19:46:43

不需要开手动，诺顿就有针对注入的行为定义，不过究竟在什么条件下才会被触发我还没搞清楚！一般来说报法是SONAR.ProcHijack！gen3！在特定条件下，除了注入explorer的以外，所有被注入的进程都会先被挂起，然后结束！
http://bbs.norton.com/t5/forums/ ... Tech/thread-id/2772
我在诺顿官方论坛发的这篇帖子里的test.exe运行后，SONAR就会拦截几乎大部分注入型的样本了（explorer的除外）！那位高手看看是怎么回事！

显示全部楼层 · 发表于 2013-6-9 19:47:12

http://bbs.kafan.cn/thread-1581099-1-1.html消停的，唔，你爱的最后一个样本

显示全部楼层 · 发表于 2013-6-9 19:50:34

蓝核发表于 2013-6-9 19:46
唔，高端黑路过……不说话不留把柄……

哈哈哈你呀

显示全部楼层 · 发表于 2013-6-9 21:01:20

那个针管好犀利

显示全部楼层 · 发表于 2013-6-9 21:17:36

回去在虚拟机上试试，难道在x64上被阉割的防注入有回来了？

[讨论] 诺顿惊现注入代码拦截

RE: 诺顿惊现注入代码拦截