这个样本comodo只能拦截到执行svchost，SSF拦截到执行和修改svchost内存

显示全部楼层 · 发表于 2014-3-8 10:21:50

样本地址：http://bbs.kafan.cn/thread-1645613-1-1.html

win7 X32测试

是不是以后只要陌生程序执行系统程序就要拦截？

SSF的拦截过程：

comodo的拦截过程

显示全部楼层 · 发表于 2014-3-8 10:43:24

svchost做了什么吗

显示全部楼层 · 发表于 2014-3-8 10:50:38

myzuzong 发表于 2014-3-8 10:43
svchost做了什么吗

必须的哈哈把系统自带的杀软、墙灭了，安全中心也灭了。禁止执行也能看到样本在做同样的事情。

毛豆这个执行XXX真是包治百病的一招，跟OP的启动执行Network-enabled application launch差不多，都是神奇的一招。

还是SSF实在，一路追杀，刀刀不离要害。实在人吃亏啊~~

先上点自圆其说的截图

显示全部楼层 · 发表于 2014-3-8 11:01:08

干脆把这两个也弄成一样得了

显示全部楼层 · 发表于 2014-3-8 11:15:43

嗯，漏了。肯定不应该看到执行就阻止。

显示全部楼层 · 发表于 2014-3-8 11:28:03

就如同彈窗寫的，一點允許就代表用戶同意子進程被父進程控制。

這個從 V3 HIPS第一代時就是這樣設計的。

显示全部楼层 · 发表于 2014-3-8 11:29:50

myzuzong 发表于 2014-3-8 11:15
嗯，漏了。肯定不应该看到执行就阻止。

我也是这么想的

显示全部楼层 · 发表于 2014-3-8 11:30:48

a256886572008 发表于 2014-3-8 11:28
就如同彈窗寫的，一點允許就代表用戶同意子進程被父進程控制。

這個從 V3 HIPS第一代時就是這樣設 ...

但是4楼的两张截图怎么解释呢？

显示全部楼层 · 发表于 2014-3-8 11:35:17

墨家小子发表于 2014-3-8 11:30
但是4楼的两张截图怎么解释呢？

第一張，那個 explorer.exe 是系統原本的，並非病毒執行的。

第二張，那個explorer.exe 才是病毒執行的。

显示全部楼层 · 发表于 2014-3-8 11:39:39

a256886572008 发表于 2014-3-8 11:35
第一張，那個 explorer.exe 是系統原本的，並非病毒執行的。

第二張，那個explorer.exe 才是病毒執行 ...

ie呢？这个接下来就是注入

[讨论] 这个样本comodo只能拦截到执行svchost，SSF拦截到执行和修改svchost内存

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源