红伞访问下局域网的带病毒的机器,为何不检测有毒文件?内详

guaguagua

不过我还很奇怪你那个是什么病毒，为什么运行了都不写磁盘的

mofunzone

写的是远程主机的磁盘，而不是本地主机的磁盘，不会对本地主机有任何read or write行为

宝贝要升天了

原帖由 mofunzone 于 2007-12-29 14:58 发表
不明白为什么要内存监控
远程电脑运行病毒又不会感染到本地，没有病毒可以直接加载在内存中运行，这是不现实的，一定要下载到硬盘，形成完整文件，进行内存映射才可以执行，（如果不这么做，只是加载到内存，只要电 ...

我觉得要加内存监控
我打个比方.
上次遇到一个很弱的U盘病毒,那时伞还不能查杀,然后那个U盘病毒就一直在内存运行了好久.PS:我没有关闭电脑的习惯,一直都是待机,再待机.
后来升级了下病毒库,可以杀了,但是内存的病毒还是没有被杀掉...一直躲在那里,行为不得而知.当然了,这小毒,如果是大毒,盗QQ,盗网游密码,那就不好玩了.所以为了安全.内存监控还得加上.

宝贝要升天了

原帖由 guaguagua 于 2007-12-29 15:03 发表
不过我还很奇怪你那个是什么病毒，为什么运行了都不写磁盘的

普通自动运行病毒

如果是下载者病毒,那肯定是要被伞给劫掉的.

另外,如果内存中的病毒写入文件也可能被查杀,但是做木马的话,不隐藏点怎么行...

mofunzone

理论上这是不可能的，根据windows进程保护原理，所有加载在内存中的文件是禁止任何修改行为的
所以，我只能认为，antivir升级后是删除掉了u盘内的病毒，但是因为之前病毒已经被运行了，所以系统盘（例如c盘）内有了病毒文件，内存中的映像是通过c盘这个文件来建立的，所以就算u盘的病毒删除了，c盘的还是在运行当中，此时尽管antivir可以查杀到c盘的病毒，但是也无法进行任何删除和隔离操作（有人遇到的不停弹出报警窗口就是这种情况造成的），只有生成bat文件，在从新启动之后，抢在病毒加载到内存之前删除c盘的病毒文件，只要被加载，任何改写那个文件在本地磁盘上的内容都是被windows阻止的

宝贝要升天了

原帖由 mofunzone 于 2007-12-29 15:05 发表
写的是远程主机的磁盘，而不是本地主机的磁盘，不会对本地主机有任何read or write行为

那,远程运行正常程序,生成的类似tmp文件,是在哪里生成?本机?远程?

mofunzone

你远程运行别的计算机的程序，那么那个程序所有的内容都是在远程计算机内，和本地计算机完全没有关系

宝贝要升天了

原帖由 mofunzone 于 2007-12-29 15:11 发表
理论上这是不可能的，根据windows进程保护原理，所有加载在内存中的文件是禁止任何修改行为的
所以，我只能认为，antivir升级后是删除掉了u盘内的病毒，但是因为之前病毒已经被运行了，所以系统盘（例如c盘）内有了 ...

这种情况碰到两次.
以前用NOD32时,内存运行带毒文件,也是远程运行,本机没read&write$execute行为,后来觉得NOD32的查病毒能力优点弱,就换伞,居然伞也这样.说到底,还是没有内存监控.

mofunzone

远程运行为什么会和本地计算机有关系，我不理解

宝贝要升天了

原帖由 mofunzone 于 2007-12-29 15:17 发表
远程运行为什么会和本地计算机有关系，我不理解

反正这种事件比较少见.
很少人会碰到.

另外,远程运行和本机是无关...

最后感谢大侠的指点,谢谢.