楼主: 柯林
收起左侧

[讨论] 怎样写套简单而又犀利的防毒/测毒规则?(12楼和13楼有参考贴图)

[复制链接]
Opera~
发表于 2014-6-8 10:40:46 来自手机 | 显示全部楼层
xuan1xuan 发表于 2014-6-8 07:39
柯大,难道安装软件时要右键。退出吗,万一安装包有问题肿么办

咖啡无法退出,只能关闭访问保护,一旦关闭,就是等于无防护(铁壳的优卡也来玩咖啡?话说还有10多天就考试了呢)
Opera~
发表于 2014-6-8 10:42:12 来自手机 | 显示全部楼层
柯林 发表于 2014-6-8 02:11
当然可以的  不过不用这么麻烦  明天我发个普罗大众版的简单规则(20条左右) 偏好是见者皆灭的禁运党风 ...

柯林大大发reg给某些懒人吧~
依班娜
发表于 2014-6-8 11:44:30 | 显示全部楼层
貌似是不是缺了一个rundll32
a8595163
发表于 2014-6-8 16:53:56 | 显示全部楼层
请问咖啡的规则怎么导出导入
柯林
 楼主| 发表于 2014-6-8 17:47:35 | 显示全部楼层
依班娜 发表于 2014-6-8 11:44
貌似是不是缺了一个rundll32

你说运行dll文件的这个?要加上也可以
对于dll注入,具体实现的原理和过程,资料太少,不大了解

个人理解,它应该首先有个母体程序,要由这个来安排好前奏,才能执行吧?规则阻止了母体,也就不用考虑其它了。

依班娜
发表于 2014-6-8 17:50:56 | 显示全部楼层

RE: 怎样写套简单而又犀利的防毒/测毒规则?(12楼和13楼有参考贴图)

柯林 发表于 2014-6-8 17:47
你说运行dll文件的这个?要加上也可以
对于dll注入,具体实现的原理和过程,资料太少,不大了解

不对,你忘了lnk了,这个直接利用一个dll和lnk就可以达到,lnk双击之后就会运行rundll32运行毒dll中的函数
柯林
 楼主| 发表于 2014-6-8 17:52:09 | 显示全部楼层
a8595163 发表于 2014-6-8 16:53
请问咖啡的规则怎么导出导入

你搜论坛资料,8.8版本,32位系统应该是:
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking
柯林
 楼主| 发表于 2014-6-8 17:54:24 | 显示全部楼层
依班娜 发表于 2014-6-8 17:50
不对,你忘了lnk了,这个直接利用一个dll和lnk就可以达到,lnk双击之后就会运行rundll32运行毒dll中的函 ...

哦  
大半年都没时间玩毒测样本了,有些东西淡忘了
依班娜
发表于 2014-6-8 18:14:10 | 显示全部楼层

RE: 怎样写套简单而又犀利的防毒/测毒规则?(12楼和13楼有参考贴图)

柯林 发表于 2014-6-8 17:54
哦  
大半年都没时间玩毒测样本了,有些东西淡忘了

呃,这个的确容易忘记。哦是什么意思
柯林
 楼主| 发表于 2014-6-8 18:33:36 | 显示全部楼层
依班娜 发表于 2014-6-8 18:14
呃,这个的确容易忘记。哦是什么意思

印象中 我没玩过这类型的样本  你不说  我都忘了HIPS规则中禁止指定外程序调用rundll32.exe是啥作用了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:34 , Processed in 0.792362 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表