四入四出神网，解开神网的“注入”谜题！

墨家小子

lixihong10 发表于 2016-4-19 20:14
autoruns 看不到，更新到官网的也看不到

ie会下一个DLL 和 exe

解释一下这两个行为是怎么回事？

导演AZ

qftest 发表于 2016-4-19 00:01
又仔细看了一遍LZ录像，然后对比我以前的comodo笔记，确实应该拦截啊

LZ没开RD保护？

求分享你的小本本

lixihong10

墨家小子 发表于 2016-4-19 20:16
解释一下这两个行为是怎么回事？

这两个就是 explorer 加载神网的DLL了。

qftest

墨家小子 发表于 2016-4-19 20:07
但楼主似乎并不认为是注入啊？视频中凡是出现注入修改的地方他都是选择拒绝的，拒绝之后conhost还会有很 ...

我想这需要纯eset/纯comodo(开RD)观察，至少这可以排除hips间的兼容性可能；另外鉴于这两货的报法粗糙，还需要第三方佐证(x32 ssf/md)
哪位大神上呗？

墨家小子

lixihong10 发表于 2016-4-19 20:18
这两个就是 explorer 加载神网的DLL了。

explorer不是被禁止修改注入了吗？你视频中显示的

墨家小子

qftest 发表于 2016-4-19 20:18
我想这需要纯eset/纯comodo(开RD)观察，至少这可以排除hips间的兼容性可能；另外鉴于这两货的报法粗糙， ...

MD的测试日志我是看到了

lixihong10

墨家小子 发表于 2016-4-19 20:19
explorer不是被禁止修改注入了吗？你视频中显示的

这里允许他创建一个文件了。

之后只需要注册这个DLL到扩展中，然后每次打开explorer的时候他就会当扩展打开，而不是注入。

qftest

导演AZ 发表于 2016-4-19 20:18
求分享你的小本本

几年前5.12时的记录了，仅供参考

墨家小子

lixihong10 发表于 2016-4-19 20:24
这里允许他创建一个文件了。

之后只需要注册这个DLL到扩展中，然后每次打开explorer的时候他就会 ...

注册的时候有拦截截图吗？

好像还有一个截图

lixihong10

墨家小子 发表于 2016-4-19 20:28
注册的时候有拦截截图吗？

我的RD保护移除了，所以没有拦截到（后面找到原因所在了检查HIPS的时候才发现）

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32]
@="D:\\ProgramData\\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\\cmcfg32.dll"
这个是位置。

所以这个位置很隐秘~