楼主: qftest
收起左侧

[技术原创] Win8x64 咖啡豆基础规则【Update 2014/03/28 Final】

  [复制链接]
墨家小子
发表于 2014-3-3 09:35:42 | 显示全部楼层
qftest 发表于 2014-3-2 21:54
这个全局禁止未授权程序创建exe和dll那些的,当然很重要啦

不过会误伤啊 毕竟rundll32要用的
qftest
 楼主| 发表于 2014-3-3 11:17:36 | 显示全部楼层
墨家小子 发表于 2014-3-3 09:35
不是注入,是没运行起来

你什么系统?

win8x64
我的意思是纯用VSE跑那个样本时,日志显示记事本的那个notepad不断修改文件、以及端口规则不断阻止连网等等,感觉是被注入了,但看不到更具体的动作
qftest
 楼主| 发表于 2014-3-3 11:21:42 | 显示全部楼层
墨家小子 发表于 2014-3-3 09:35
不过会误伤啊 毕竟rundll32要用的

禁运规则本来就是六亲不认简单粗暴的。。单就这条规则禁止rundll32.exe而言,我实机使用半年来系统都未发现异常
墨家小子
发表于 2014-3-3 11:22:03 | 显示全部楼层
qftest 发表于 2014-3-3 11:17
win8x64
我的意思是纯用VSE跑那个样本时,日志显示记事本的那个notepad不断修改文件、以及端口规则不断 ...

看SSF的测试:http://bbs.kafan.cn/forum.php?mo ... 55&pid=30580205
貌似跟OP的DDE很像:http://www.agnitum.com/support/k ... 1000200&lang=en

With Outpost products, every attempt to use the DDE intercommunication is monitored with no exclusion, whether the process is open or not. DDE inter process communication control enables Outpost to control the methods used by applications to get control over the legitimate processes. It prevents malware from hijacking the legitimate program and checks whether such DDE-level interactivity is allowed to be performed upon the network-enabled applications. In case such attempt is detected, it triggers legitimacy verification.
墨家小子
发表于 2014-3-3 11:27:28 | 显示全部楼层
qftest 发表于 2014-3-3 11:21
禁运规则本来就是六亲不认简单粗暴的。。单就这条规则禁止rundll32.exe而言,我实机使用半年来系统都未发 ...

你用不用无线鼠标?
qftest
 楼主| 发表于 2014-3-3 11:32:24 | 显示全部楼层
墨家小子 发表于 2014-3-3 11:22
看SSF的测试:http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=1692055&pid=30580205
...

昨晚我有仔细看那帖子的所有回复
其中SSF的截图我只看懂了几张,不是全部。。COMODO的拦截提示没那么细腻,曾经有时我都觉得好象COMODO拦截了却不说出来,汗,D+里也找不到具体的设置地方,是不是还有一些“内置规则”啊?
墨家小子
发表于 2014-3-3 11:35:45 | 显示全部楼层
qftest 发表于 2014-3-3 11:32
昨晚我有仔细看那帖子的所有回复
其中SSF的截图我只看懂了几张,不是全部。。COMODO的拦截提示没 ...

按照SSF的说法,不是注入,是DDE

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qftest
 楼主| 发表于 2014-3-3 11:36:11 | 显示全部楼层
墨家小子 发表于 2014-3-3 11:27
你用不用无线鼠标?

没用过无线鼠标,一直都是有线
墨家小子
发表于 2014-3-3 11:37:31 | 显示全部楼层
qftest 发表于 2014-3-3 11:36
没用过无线鼠标,一直都是有线

好吧 跑题了
我看过用过很多咖啡规则
到最后才发现,不就是禁运么
qftest
 楼主| 发表于 2014-3-3 11:50:40 | 显示全部楼层
墨家小子 发表于 2014-3-3 11:37
好吧 跑题了
我看过用过很多咖啡规则
到最后才发现,不就是禁运么

对呀,VSE就是禁运党,简单又省事
SSF玩得少,曾在虚拟机玩过几天,很多提示看不懂。。象你截的这个图与其他进程通信我就搞不太明白,说可以通过信任的组件访问系统资源,这指的就一定是DDE吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 01:28 , Processed in 0.089206 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表