求日志，那位分别单开HIPS和沙盘+hips测试一下这两个样本

墨家小子

http://www.vdisk.cn/down/index/17753908

http://www.vdisk.cn/down/index/17753895

OP全部拦截下的日志，感觉现在OP只要放行启动iexplore.exe、svchost.exe、cmd.exe这些，后面的行为就拦截不到了。猜测是不是跟毛豆一个道理（“父进程成功执行子进程后就可以控制子进程的执行”）？


9:11:31        拦截        HERB.EXE        键盘记录器        设置键盘钩子
9:11:25        拦截        HERB.EXE        启动拥有网络访问许可的应用程序        c:\program files\internet explorer\iexplore.exe
9:11:25        拦截        HERB.EXE        启动拥有网络访问许可的应用程序        c:\windows\system32\svchost.exe
9:11:23        拦截        HERB.EXE        启动拥有网络访问许可的应用程序        c:\program files\internet explorer\iexplore.exe
9:11:23        拦截        HERB.EXE        启动拥有网络访问许可的应用程序        c:\windows\system32\cmd.exe


9:11:33        HERB.EXE        拦截对系统对象的修改        Internet Settings        HKEY_USERS\S-1-5-21-1819307148-999744921-3341934389-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
9:11:31        HERB.EXE        修改系统对象时提示        Internet Settings        HKEY_USERS\S-1-5-21-1819307148-999744921-3341934389-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
9:11:31        HERB.EXE        拦截对系统对象的修改        Shell Extensions        HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{7I57OI4O-5247-QL2J-08B4-HE86M36UI462}
9:11:28        HERB.EXE        修改系统对象时提示        Shell Extensions        HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{7I57OI4O-5247-QL2J-08B4-HE86M36UI462}
9:11:28        HERB.EXE        拦截对系统对象的修改        Auto Start Entries        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM
9:11:25        HERB.EXE        修改系统对象时提示        Auto Start Entries        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM


火眼报告：http://fireeye.ijinshan.com/anal ... 4dc&type=1#full

墨家小子

这是放行OP启动cmd、ie之后的行为日志

10:01:17        允许        IEXPLORE.EXE        启动拥有网络访问许可的应用程序        c:\windows\system32\svchost.exe
10:01:09        允许        NET1.EXE        驱动程序加载        MPSSVC
10:01:09        允许        NET.EXE        启动拥有网络访问许可的应用程序        c:\windows\system32\net1.exe
10:01:09        允许        CMD.EXE        启动拥有网络访问许可的应用程序        c:\windows\system32\net.exe
10:01:17        允许        HERB.EXE        启动拥有网络访问许可的应用程序        c:\program files\internet explorer\iexplore.exe
10:01:08        允许        HERB.EXE        启动拥有网络访问许可的应用程序        c:\windows\system32\cmd.exe

10:01:23        IEXPLORE.EXE        拦截对系统对象的修改        Shell Extensions        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7I57OI4O-5247-QL2J-08B4-HE86M36UI462}\StubPath
10:01:21        IEXPLORE.EXE        修改系统对象时提示        Shell Extensions        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7I57OI4O-5247-QL2J-08B4-HE86M36UI462}\StubPath
10:01:21        IEXPLORE.EXE        拦截对系统对象的修改        Auto Start Entries        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM
10:01:18        IEXPLORE.EXE        修改系统对象时提示        Auto Start Entries        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM