楼主: qftest
收起左侧

[技术原创] Win8x64 咖啡豆基础规则【Update 2014/03/28 Final】

  [复制链接]
蓝核
发表于 2014-3-2 15:27:07 | 显示全部楼层
鼓励测试 但不建议实机这么测试
墨家小子
发表于 2014-3-2 17:09:37 | 显示全部楼层
qftest 发表于 2014-3-2 14:45
1、卸载comodo,然后关闭月神、“阻止对所有共享资源的读写访问”和自定义09,运行病毒:

好乱

你试一下关闭防病毒爆发控制、用户定义的规则:04和用户定义的规则:09
qftest
 楼主| 发表于 2014-3-2 18:14:59 | 显示全部楼层
墨家小子 发表于 2014-3-2 17:09
好乱

你试一下关闭防病毒爆发控制、用户定义的规则:04和用户定义的规则:09

我觉得还好啊,只是没有高亮拦截动作嘛
04是一条很重要的规则,非windows程序都不在信任区,关掉这条规则威力就大减了
我试试,一会发日志上来
墨家小子
发表于 2014-3-2 18:19:35 | 显示全部楼层
qftest 发表于 2014-3-2 18:14
我觉得还好啊,只是没有高亮拦截动作嘛
04是一条很重要的规则,非windows程序都不在信任区,关掉这条规 ...

你看看这个:http://bbs.kafan.cn/forum.php?mo ... 55&pid=30578139

2014-03-01 13:02:00        C:\Program Files\Internet Explorer\iexplore.exe        Create Process        C:\Users\VMuser\AppData\Local\Temp\zwbmtnbyhtb.exe
2014-03-01 13:01:50        C:\Program Files\Internet Explorer\iexplore.exe        Create Process        C:\Users\VMuser\AppData\Local\Temp\tcgijxeqfev.exe
2014-03-01 13:01:46        C:\Program Files\Internet Explorer\iexplore.exe        Create Process        C:\Users\VMuser\AppData\Local\Temp\dtdasndkufj.exe
2014-03-01 13:01:14        C:\Program Files\Internet Explorer\iexplore.exe        Access Memory        C:\Program Files\COMODO\COMODO Internet Security\CisTray.exe
2014-03-01 13:01:11        C:\Users\VMuser\Desktop\mon20.exe        Create Process        C:\Program Files\Internet Explorer\iexplore.exe
qftest
 楼主| 发表于 2014-3-2 20:14:34 | 显示全部楼层
本帖最后由 qftest 于 2014-3-2 23:00 编辑
墨家小子 发表于 2014-3-2 17:09
好乱

你试一下关闭防病毒爆发控制、用户定义的规则:04和用户定义的规则:09


按你说的关掉04,运行病毒:

2014/3/2        18:13:10        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:13:10        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:13:16        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\lsass.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Control\Lsa        防病毒标准保护:禁止更改用户权限策略        已阻止的操作: 创建

2014/3/2        18:16:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\apphelp.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\apppatch\sysmain.sdb        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\msvbvm60.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\combase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\imm32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\Globalization\Sorting\SortDefault.nls        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\uxtheme.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:38        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\sxs.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:38        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\Fonts\sserife.fon        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:38        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\cryptsp.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:39        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\rsaenh.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:39        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Users\Kafan\AppData\Local\Temp\~DF293CE946C997F701.TMP        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 创建
2014/3/2        18:16:39        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\dwmapi.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:39        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\zh-CN\user32.dll.mui        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\测试\explorer联网\1dsve2wefd.exe        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\apppatch\sysmain.sdb        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\测试\explorer联网\1dsve2wefd.exe        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\apppatch\sysmain.sdb        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\apphelp.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\apppatch\sysmain.sdb        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\explorer.exe        用户定义的规则:04 访问Windows程序        已阻止的操作: 读取
2014/3/2        18:16:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\apppatch\sysmain.sdb        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\explorer.exe        用户定义的规则:04 访问Windows程序        已阻止的操作: 读取
2014/3/2        18:16:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\apppatch\sysmain.sdb        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:16:56        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\explorer.exe        用户定义的规则:04 访问Windows程序        已阻止的操作: 读取
2014/3/2        18:16:56        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\explorer.exe        C:\Users\Kafan\Documents\DirectDrawEx\DirectDrawEx.exe        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 创建
2014/3/2        18:16:56        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\explorer.exe        C:\测试\explorer联网\1dsve2wefd.exe        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入
2014/3/2        18:17:34        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\svchost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:17:35        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\svchost.exe        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:17:36        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\netsh.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\LocalConfig        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:17:36        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\netsh.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Shas        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:17:36        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\netsh.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Qecs        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:17:36        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\netsh.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Shas        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:17:36        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\netsh.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Qecs        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:17:38        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        \Registry\Machine\System\CurrentControlSet\Services\Http\Parameters\SslBindingInfo        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:17:38        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        \Registry\Machine\System\CurrentControlSet\Services\Http\Parameters\SslSniBindingInfo        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:17:38        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        \Registry\Machine\System\CurrentControlSet\Services\Http\Parameters\SslCcsBindingInfo        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:17:38        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        \Registry\Machine\System\CurrentControlSet\Services\Http\Parameters\UrlAclInfo        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:18:57        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\rundll32.exe        C:\Windows\Temp\winstore.log        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入
2014/3/2        18:18:59        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\rundll32.exe        C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 创建
2014/3/2        18:18:59        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\rundll32.exe        C:\Windows\Temp\winstore.log        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入
2014/3/2        18:19:00        被端口阻挡规则阻挡         C:\windows\system32\rundll32.exe        通用最大保护:禁止 HTTP 通信        64.4.11.25:443
2014/3/2        18:19:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\wsqmcons.exe        C:\Windows\Temp\winstore.log        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入
2014/3/2        18:19:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\wsqmcons.exe        C:\WINDOWS\SYSTEM32        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 创建
2014/3/2        18:19:19        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI490A.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2014/3/2        18:19:19        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI4A92.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2014/3/2        18:21:46        已由访问保护规则禁止         qftest\Kafan        C:\windows\system32\taskhostex.exe        C:\Users\Kafan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\container.dat        防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击        已阻止的操作: 读取







C:\Windows\SysWOW64\explorer.exe出现在了当前进程列表,启动项也被修改,只不过由于释放衍生物的动作被其他规则拦截所以这次变成了自启动C:\测试\explorer联网\1dsve2wefd.exe




重启后:

2014/3/2        18:26:04        已由访问保护规则禁止         qftest\Kafan        C:\windows\system32\wermgr.exe        C:\Windows\System32\rundll32.exe        用户定义的规则:05 访问rundll32.exe        已阻止的操作: 读取
2014/3/2        18:26:39        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:26:39        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建

2014/3/2        18:27:40        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\Prefetch\1DSVE2WEFD.EXE-1322FC36.pf        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:40        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\ntdll.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:40        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:40        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\wow64win.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:40        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\wow64cpu.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:40        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\kernel32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:40        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\kernel32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:40        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\user32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\ntdll.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\KernelBase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\locale.nls        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\apphelp.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\apppatch\sysmain.sdb        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\advapi32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\msvcrt.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\rpcrt4.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\sspicli.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\cryptbase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\bcryptprimitives.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\explorer.exe        用户定义的规则:04 访问Windows程序        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\msvbvm60.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\combase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\imm32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\Globalization\Sorting\SortDefault.nls        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\uxtheme.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\sxs.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\Fonts\sserife.fon        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\cryptsp.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\rsaenh.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Users\Kafan\AppData\Local\Temp\~DF7076F4FB0A7E6F1E.TMP        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 创建
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\dwmapi.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:41        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\zh-CN\user32.dll.mui        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:57        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\测试\explorer联网\1dsve2wefd.exe        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:57        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:57        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        18:27:57        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\explorer.exe        用户定义的规则:04 访问Windows程序        已阻止的操作: 读取
2014/3/2        18:27:57        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\explorer.exe        C:\Users\Kafan\AppData\Roaming\AddressBook\AddressBook.pif        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 创建
2014/3/2        18:27:57        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\explorer.exe        C:\测试\explorer联网\1dsve2wefd.exe        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入
2014/3/2        18:28:42        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\svchost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:28:42        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\svchost.exe        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:28:43        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\netsh.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\LocalConfig        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:28:43        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\netsh.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Shas        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:28:43        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\netsh.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Qecs        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:28:43        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\netsh.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Shas        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:28:43        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\netsh.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Qecs        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:28:43        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        \Registry\Machine\System\CurrentControlSet\Services\Http\Parameters\SslBindingInfo        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:28:43        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        \Registry\Machine\System\CurrentControlSet\Services\Http\Parameters\SslSniBindingInfo        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:28:43        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        \Registry\Machine\System\CurrentControlSet\Services\Http\Parameters\SslCcsBindingInfo        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:28:43        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        \Registry\Machine\System\CurrentControlSet\Services\Http\Parameters\UrlAclInfo        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        18:30:48        已由访问保护规则禁止         qftest\Kafan        C:\windows\system32\taskhostex.exe        C:\Users\Kafan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\container.dat        防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击        已阻止的操作: 读取
2014/3/2        18:33:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI490A.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2014/3/2        18:33:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI4A92.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2014/3/2        18:39:38        已由访问保护规则禁止         qftest\Kafan        C:\windows\system32\wermgr.exe        C:\Windows\System32\rundll32.exe        用户定义的规则:05 访问rundll32.exe        已阻止的操作: 读取
2014/3/2        19:46:34        已由访问保护规则禁止         qftest\Kafan        C:\windows\system32\taskhostex.exe        C:\Users\Kafan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\container.dat        防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击        已阻止的操作: 读取
2014/3/2        19:46:34        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\lsass.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Control\Lsa        防病毒标准保护:禁止更改用户权限策略        已阻止的操作: 创建
2014/3/2        19:46:35        已由访问保护规则禁止         qftest\Kafan        C:\windows\system32\taskhostex.exe        C:\Users\Kafan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\container.dat        防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击        已阻止的操作: 读取
2014/3/2        19:46:36        被端口阻挡规则阻挡         C:\windows\system32\rundll32.exe        通用最大保护:禁止 HTTP 通信        65.52.98.7:443
2014/3/2        19:46:37        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\rundll32.exe        C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\MICROSOFT\WINDOWS\CACHES        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 创建
2014/3/2        19:46:51        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\rundll32.exe        C:\WINDOWS\TEMP\AEIC05F.TMP        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 创建
2014/3/2        19:49:00        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI490A.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2014/3/2        19:49:00        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI4A92.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行








测试结束

关掉04后防御失败

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
发表于 2014-3-2 20:21:45 | 显示全部楼层
qftest 发表于 2014-3-2 20:14
按你说的关掉04,运行病毒:

2014/3/2        18:13:10        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C ...

就开这个就够了,就一条
规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:无
阻挡、报告
墨家小子
发表于 2014-3-2 20:23:12 | 显示全部楼层
还有我发现这一条规则很好哦
防病毒标准保护:禁止远程创建/修改可执行文件和配置文件
qftest
 楼主| 发表于 2014-3-2 21:50:36 | 显示全部楼层
墨家小子 发表于 2014-3-2 18:19
你看看这个:http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=1692055&pid=30578139

...

跑了一下这个样本,COMODO看不到[MON20.EXE:1936] create process "c:\windows\explorer.exe" 的创建进程动作,创建ie进程和访问CisTray.exe内存也看不到



只能看日志行为判断应该是被注入了,只是D+没有相关报告

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qftest
 楼主| 发表于 2014-3-2 21:54:58 | 显示全部楼层
本帖最后由 qftest 于 2014-3-2 22:59 编辑
墨家小子 发表于 2014-3-2 20:23
还有我发现这一条规则很好哦
防病毒标准保护:禁止远程创建/修改可执行文件和配置文件


这个全局禁止未授权程序创建exe和dll那些的,当然很重要啦
墨家小子
发表于 2014-3-3 09:35:12 | 显示全部楼层
qftest 发表于 2014-3-2 21:50
跑了一下这个样本,COMODO看不到[MON20.EXE:1936] create process "c:\windows\explorer.exe" 的创建进程 ...

不是注入,是没运行起来

你什么系统?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 01:12 , Processed in 0.102237 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表