N多误报，注入自身的XP记事本[D4C5DF]——再添两个！36楼和40楼！62楼再次更新！

SONGBOWEN

图上的PID不同！！！
一个是9032，另一个是9248！！！
虽然路径一样，但是PID不同，所以得出结论，并非注入自身！！！

麦田的怪

当一种壳经常被黑客用来给木马做免杀，而不会被正常的软件所用的时候杀毒一般都会将那个壳归为恶意压缩代码。
另外，微软是不会给自己的软件加壳的。如同你所想的，如果微软会给自己的软件加壳的话，那么为了防止其他的使用了一段病毒技术所使用的代码，你说卡巴报还是不报呢？

本来么，这个特征码。。。。。。。。。。。

浪滔天

原帖由 SONGBOWEN 于 2007-11-21 18:03 发表
图上的PID不同！！！
一个是9032，另一个是9248！！！
虽然路径一样，但是PID不同，所以得出结论，并非注入自身！！！

PID 是不同，但它注入到哪儿了呢？或许卡巴截获的信息有误？

SONGBOWEN

原帖由 浪滔天 于 2007-11-21 18:13 发表

PID 是不同，但它注入到哪儿了呢？或许卡巴截获的信息有误？

这个不太可能……
卡巴都出错了，还有什么不出错的？

SONGBOWEN

原帖由 麦田的怪 于 2007-11-21 18:11 发表
当一种壳经常被黑客用来给木马做免杀，而不会被正常的软件所用的时候杀毒一般都会将那个壳归为恶意压缩代码。
另外，微软是不会给自己的软件加壳的。如同你所想的，如果微软会给自己的软件加壳的话，那么为了防止其 ...

没错，微软的东西从来就没有带壳的……
（至少我没见过……）

SONGBOWEN

确实线程注入……
EQ监控日志如下！

qianwenxiang

那个S.EXE确实没什么恶意动作 就是从PID A变成了PID B然后PID A注入PID B.. 拦截之后sandboxie显示unknown executable image .. 不知道是啥版本的NS，杀软居然有这么大反应...我用一老的NSPACK加了之后体积变小到50+K了..加了5次NS直到把记事本加死才到70+K

[ 本帖最后由 qianwenxiang 于 2007-11-21 18:42 编辑 ]

SONGBOWEN

原帖由 qianwenxiang 于 2007-11-21 18:41 发表
那个S.EXE确实没什么恶意动作 就是从PID A变成了PID B然后PID A注入PID B.. 拦截之后sandboxie显示unknown executable image .. 不知道是啥版本的NS，杀软居然有这么大反应...我用一老的NSPACK加了之后体积变小 ...

不光使用北斗壳，还有其他的东西呢，像MaskPE、FSG2.0、超级加花器等……
NS是北斗4.1破解版的。

SONGBOWEN

你用什么软件拦截的操作？
可否告知？？？

SONGBOWEN

爆汗！！
我把这个文件上报给小红伞，居然告诉我是损坏的？！
原文如下：
The file 'S.exe' has been determined to be 'DAMAGED FILE (UNKNOWN)'. In particular this means that this file is damaged and not working properly. We could not find any malicious content. However the heuristic detection module may still detect this particular file even though it is damaged. In that case we will not adjust and remove detection for this damaged file.