搞了几个有意思的样本 求测试毛豆hips

墨家小子

深山红叶__ 发表于 2014-9-21 21:01
MD可以拦截到4和5的修改进程内存操作，第一个就斯巴达了，发一个WM_Paint消息后，貌似explorer就被注入 ...

你是XP下测试的吗？我在win7 X64下SSF都拦截不到注入

墨家小子

qq5150 发表于 2014-9-21 21:31
挂代xxxx理上的卡饭，传不了图，我导出给你发文字版的
（从下到上，允许访问内存才出现后面的步骤，阻止 ...

就是说单开毛豆的hips在win8 X64下 可以拦截到样本注入explorer 拦截之后样本又开始注入svchost 毛豆同样能够拦截到这个行为是这样吧？

墨家小子

coolcfan 发表于 2014-9-21 21:46
OP是在什么配置等级下被过的？

基本上是OP最高等级的防护了 这里说的被过是指OP拦截不到样本注入系统程序 但是 即便样本注入系统程序成功 但系统程序表现出来的异常行为（写启动项等）OP还是可以拦截到的

深山红叶__

墨家小子 发表于 2014-9-21 22:31
你是XP下测试的吗？我在win7 X64下SSF都拦截不到注入

xp下测试得md未拦截注入/修改进程行为

墨家小子

深山红叶__ 发表于 2014-9-21 22:37
xp下测试得md未拦截注入/修改进程行为

嗯嗯 我怀疑两点
一 可能是我系统的毛病 SSF拦截不到样本注入
二 可能是SSF新版在64位下注入防御失效

coolcfan

墨家小子 发表于 2014-9-21 22:35
基本上是OP最高等级的防护了 这里说的被过是指OP拦截不到样本注入系统程序 但是 即便样本注入系统程序成 ...

这个应该跟官方报告下吧，注入这块拦不到总觉得有点问题。

qq5150

墨家小子 发表于 2014-9-21 22:33
就是说单开毛豆的hips在win8 X64下 可以拦截到样本注入explorer 拦截之后样本又开始注入svchost 毛豆同样 ...

是的。。。。加字补丁。exe

墨家小子

coolcfan 发表于 2014-9-21 22:51
这个应该跟官方报告下吧，注入这块拦不到总觉得有点问题。

SSF的53军规老猛了 启动监控 凡是陌生程序启动 直接就可以做掉 基本跑不到注入这里就结束了
拦不拦截要看官方心情了我记得之前可以拦截的 有时间可以试试老版本能不能拦截

墨家小子

qq5150 发表于 2014-9-21 22:51
是的。。。。加字补丁。exe

你用的是毛豆7正式版？

coolcfan

墨家小子 发表于 2014-9-21 22:56
SSF的53军规老猛了 启动监控 凡是陌生程序启动 直接就可以做掉 基本跑不到注入这里就结束了
拦不拦截要 ...

刚开始用主防，注入之类的现在的常用软件用的多么？总觉得这属于对关键位置的访问，是应该重点监控的地方。