一个火绒主防无法拦截的样本

显示全部楼层 · 发表于 2014-1-29 19:53:20

ess能防吗

显示全部楼层 · 发表于 2014-2-1 19:40:36

hx1997 发表于 2014-1-29 01:00
几百年前银砾石玩剩下的。。。
API 都没变，还是 NetUserSetInfo。。。

有印象，话说那个大牛后来忙啥去了？很久没出现

显示全部楼层 · 发表于 2014-2-1 20:08:02

大过年的能别这么搞笑吗？

显示全部楼层 · 发表于 2014-2-2 01:39:13

tedrick 发表于 2014-2-1 19:40
有印象，话说那个大牛后来忙啥去了？很久没出现

问我干啥，问他去。

大家都有自己的生活的嘛。

显示全部楼层 · 发表于 2014-2-2 01:46:31

lsass管道？

显示全部楼层 · 发表于 2014-2-2 02:30:56

显示全部楼层 · 发表于 2014-2-26 13:04:01

本帖最后由 uglee 于 2014-2-26 14:34 编辑

费尔，直接重启。后来看是隔离了，说是可疑程序。密码并没有并修改，但是被重启。能隔离也不错了。
重启之后运行那个程序才报，这是什么意思啊？？

显示全部楼层 · 发表于 2014-2-26 15:06:22

楼主请不要在这里放样本，这个规矩你是知道的吧

显示全部楼层 · 发表于 2014-2-26 15:17:20

uglee 发表于 2014-2-26 13:04
费尔，直接重启。后来看是隔离了，说是可疑程序。密码并没有并修改，但是被重启。能隔离也不错了。
重启之 ...

费尔主防是全程监控文件动作，即使是重启以前的动作也会记录下来的。估计好多主防是以单次开机的行为评判的吧，这个跟其他的不一样。

显示全部楼层 · 发表于 2014-2-26 17:24:07

本帖最后由 Qutianshang 于 2014-2-26 18:33 编辑

微点防火墙阻拦，但是他改了一个账户。开着影子看不出来，等会虚拟机试试。微点被过，开机加了密码。

[分享] 一个火绒主防无法拦截的样本