送给双机党的元宵节礼物：Trojan.Rombertik

显示全部楼层 · 发表于 2016-2-22 19:58:59

windows7爱好者发表于 2016-2-22 19:44
HIPS和AMS，你都看不见吗

HIPS是根据行为的防御，双击后被拦截根本就不关HIPS的事儿了，拦截不了的话也好说，因为我是开手动的，程序的每一步行为都有提示，至于AMS，ESET里没那个模块

显示全部楼层 · 发表于 2016-2-22 20:00:48

windows7爱好者发表于 2016-2-22 19:48
衍生物我提取了，你们慢慢玩
另GD双击击杀衍生物，图手抖，给删了......日志如下
AVA 25.5605

其实我质疑的是，BM动用了内存扫描。（类似于AMS的机制）

病毒扫描程序已检测出此文件是恶意程序。

显示全部楼层 · 发表于 2016-2-22 20:00:53

显示全部楼层 · 发表于 2016-2-22 20:04:15

windows7爱好者发表于 2016-2-22 19:58
IDP过了就过了，以后记得别随便说别人主房是小孩子就好了
元宵节快乐

好吧，是我输了

显示全部楼层 · 发表于 2016-2-22 20:05:04

BFAX 发表于 2016-2-22 19:58
HIPS是根据行为的防御，双击后被拦截根本就不关HIPS的事儿了，拦截不了的话也好说，因为我是开手动的，程 ...

那你就不用说双击了，直接发扫描结果就好了啊

显示全部楼层 · 发表于 2016-2-22 20:08:16

aboringman 发表于 2016-2-22 20:00
其实我质疑的是，BM动用了内存扫描。（类似于AMS的机制）

你要这么说我没办法了，这个机制我也不知道怎么关

显示全部楼层 · 发表于 2016-2-22 20:09:14

aboringman 发表于 2016-2-22 19:53
貌似它的注入行为失败了。。。。。。而且真的没什么恶意操作，会不会搞错了。。。。。。

看2楼。。。。。。

此样本各种反的说

显示全部楼层 · 发表于 2016-2-22 20:11:05

windows7爱好者发表于 2016-2-22 20:08
你要这么说我没办法了，这个机制我也不知道怎么关

算了，你就算想关掉它，也是不可能的，因为这跟BM本来就是一体，我需要你长期双击来验证一下这个结论，这次是我输了，元宵节快乐

显示全部楼层 · 发表于 2016-2-22 20:13:24

230f4 发表于 2016-2-22 20:09
看2楼。。。。。。

此样本各种反的说

xp......我现在就在努力地找它的衍生物，可惜找不到。。。。。。

难道又是自动免疫，咳咳咳咳

显示全部楼层 · 发表于 2016-2-22 20:13:25

aboringman 发表于 2016-2-22 20:11
算了，你就算想关掉它，也是不可能的，因为这跟BM本来就是一体，我需要你长期双击来验证一下这个结论，这 ...

然而我刚刚卸载GD
我算是没救了，又想用蜘蛛了
GD的清除效果太差，不满意，要回我蜘蛛

突然发现自己爱上了自保很强的杀软，但是感觉没卵用啊，可能蜘蛛更符合我的使用习惯

[病毒样本] 送给双机党的元宵节礼物：Trojan.Rombertik