启动SVCHOST，利用svchost写入启动文件夹……过SSF（卤煮基于某些人的测试亲自开撸）

显示全部楼层 · 发表于 2015-12-20 18:43:22

墨家小子发表于 2015-12-20 17:21
你的HMPA拦截了没有？我这里毫无反应

没有拦

显示全部楼层 · 发表于 2015-12-20 21:33:58

墨家小子发表于 2015-12-20 16:42
哎，不想说什么了，样本区到处都是像你这样的测试

1、这是最后一步，之前的截图已经被加密了，至于为 ...

  第一，我三次回复都没有说费尔防御此病毒，第一次我说过费尔动态防御，第二次只是说了一下双击的结果，第三次是回答问题。所以我不知道你的这个回复是什么意思。
  第二，开云，动态最高一直是我的日常配置，我不希望引起不必要的误会。
  第三，沙盘并没有被穿，所以启动项，加密文件自然没有。
  卡饭中做个朋友不是很好嘛？一定要对一个往日无怨近日无仇的某些人做一些不算友好的事情么？

显示全部楼层 · 发表于 2015-12-21 01:53:55

Artemis!E6CA0DC2F658

显示全部楼层 · 发表于 2015-12-21 10:59:10

lixihong10 发表于 2015-12-20 17:13
没有被替换。

毛豆高级设置 -- 安全设置 -- 文件评级里面你怎么设置的

显示全部楼层 · 发表于 2015-12-21 13:10:04

本帖最后由 lixihong10 于 2015-12-21 13:14 编辑

显示全部楼层 · 发表于 2015-12-21 16:02:53

微点拦截了

显示全部楼层 · 发表于 2015-12-21 16:43:44

lixihong10 发表于 2015-12-21 13:10

受信任供应商删除不？那你之前自动设置的规则，类似学习信任的规则会不会导致系统文件被注入之后看不到进一步的行为？安装好之后毛豆是信任了一批的

显示全部楼层 · 发表于 2015-12-21 16:46:41

墨家小子发表于 2015-12-21 16:43
受信任供应商删除不？那你之前自动设置的规则，类似学习信任的规则会不会导致系统文件被注入之后看不到进 ...

手动党

显示全部楼层 · 发表于 2015-12-21 16:55:41

lixihong10 发表于 2015-12-21 16:46
手动党

我擦。。。那不累死啊，开机的一瞬间，估计你的内心是拒绝的

显示全部楼层 · 发表于 2015-12-21 16:56:28

lixihong10 发表于 2015-12-21 16:46
手动党

结合上一个回帖，你这才是跟SSF的全部询问模式一样，看来毛豆需要打磨的地方很多啊

[可疑文件] 启动SVCHOST，利用svchost写入启动文件夹……过SSF（卤煮基于某些人的测试亲自开撸）

本帖子中包含更多资源

本帖子中包含更多资源