查看: 2038|回复: 8
收起左侧

[讨论] McAfee有没有办法解决进程注入

[复制链接]
ronin
发表于 2008-1-3 18:00:23 | 显示全部楼层 |阅读模式
目前的木马基本上是靠进程注入,靠防写入规则效果不明显,大家有没有关于这方面的经验?
vick9610
发表于 2008-1-3 18:18:40 | 显示全部楼层
咖啡的规则防不住木马吗
偶没遇到过,所以不会想这个问题。。
ivan_t
发表于 2008-1-3 18:32:45 | 显示全部楼层
呵呵,解决这个问题一般需要AD的,但McAfee只有FD和RD......
长空之鹰
发表于 2008-1-3 18:38:18 | 显示全部楼层

回复 1楼 ronin 的帖子

麻烦给个例子
深红的雪
发表于 2008-1-3 19:12:09 | 显示全部楼层
目前的木马基本上是靠进程注入

“基本上”这说法是不准确的。大部分的木马都是采用独立进程,注入式的还是少数。因为技术要求高,如果dll设计得不好,甚至会让其宿主也崩溃,它自己也运行不了。
动态嵌入式木马一般是dll文件,但它不能自己运行,它需要loader。谁去帮它找loader?到最后还是exe等可执行文件。
因此防止exe等格式文件的私自写入,就能防住病毒。
木马无法写入,就谈不上运行。
所以我说,大家看问题要有前瞻性,不要等到亡羊了才去补牢。

但McAfee只有FD和RD

很多人的误区,其实咖啡是有AD的。不过只是最基本的AD——“执行”。

[ 本帖最后由 rappar 于 2008-1-3 19:16 编辑 ]
twtjeyp
发表于 2008-1-4 09:58:01 | 显示全部楼层
说得不错,明白了一点儿。
朱阿朱
发表于 2008-1-4 14:39:51 | 显示全部楼层
路过学习哦了
gho
发表于 2008-1-4 14:49:08 | 显示全部楼层
非常感谢rapper的解说
leopeng
发表于 2008-1-4 15:53:45 | 显示全部楼层
不是太明白!学习学习!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 18:52 , Processed in 0.283434 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表