批处理敲竹杠

lixihong10

net修改密码操作用\Device\NamedPipe\samr拦截
详情：http://bbs.kafan.cn/thread-1804009-1-1.html
拦截关机在COM接口里面添加
LocalSecurityAuthority.Shutdown

Ysids

lixihong10 发表于 2015-2-4 19:39
net修改密码操作用\Device\NamedPipe\samr拦截
详情：http://bbs.kafan.cn/thread-1804009-1-1.ht ...

问题是一般用户都不懂HIPS的，提示太多，也看不懂，而且用户也不多！
如果碰上点允许的.....哈哈

sivrll

谁说不会拦截的？？？

Ysids

sivrll 发表于 2015-2-4 20:10
谁说不会拦截的？？？

上报之后肯定拦截了
360现在也查杀了（看9楼测试 没入库也杀了）现在360已经入库了

sivrll

Ysids 发表于 2015-2-4 20:11
上报之后肯定拦截了
360现在也查杀了（看9楼测试 没入库也杀了）现在360已经入库了

关键是某人说国外杀软都不会入库的啊

Ysids

sivrll 发表于 2015-2-4 20:13
关键是某人说国外杀软都不会入库的啊

卡巴确实不入库的 国外很多对批处理基本都没什么防御措施！
如果不入库的话，国外一些软件对批处理上基本没什么应对措施！
看这个帖子吧 http://bbs.kafan.cn/thread-1808004-1-1.html

sivrll

Ysids 发表于 2015-2-4 20:15
卡巴确实不入库的 国外很多对批处理基本都没什么防御措施！
看这个帖子吧 http://bbs.kafan.cn/thread-1 ...

关键是小红伞拦截了，你说是刚刚入库也可以，小红伞就是国外的，对不？咱不能睁着眼睛说瞎话吧？！

Ysids

sivrll 发表于 2015-2-4 20:18
关键是小红伞拦截了，你说是刚刚入库也可以，小红伞就是国外的，对不？咱不能睁着眼睛说瞎话吧？！

看12楼测试吧（小红伞那时候并没有拦截）
人家也没说小红伞不入库吧？
大家说的是国外很多软件基本对批处理不入库（卡巴官方就表示不拦截 因为无法分辨是不是用户行为）
而且也有很多国外软件基本不防批处理.......同志们说的是大部分国外的
并没有指向某一个具体产品（你非要想象是说小红伞 我也没办法）
当然不排除有的国外软件会入库（但是入库之前 国外软件对批处理基本没有什么防御措施的）
看这里http://bbs.kafan.cn/thread-1808004-1-1.html（里面有三个样本）你可以测试一下（这里面样本是三年前的了）
http://bbs.kafan.cn/thread-1806078-1-1.html （你可以测试这个样本）看是否拦截 是不是入库了
还有这个帖子 http://bbs.kafan.cn/thread-1803427-1-1.html
你可以使用旧版病毒库，测试入库前 看看是否拦截 是否防御！

pal家族

sivrll 发表于 2015-2-4 20:18
关键是小红伞拦截了，你说是刚刚入库也可以，小红伞就是国外的，对不？咱不能睁着眼睛说瞎话吧？！

你好 确实国外杀软多靠消极入库的。
重点是 和你说话的是复制粘贴军，那个图也是ps的，我没这样说。
请小心小号和马甲，最近论坛有点乱

pal家族

你的二楼 MR.肝癌