四入四出神网，解开神网的“注入”谜题！

导演AZ

qftest 发表于 2016-4-19 20:25
几年前5.12时的记录了，仅供参考

谢谢  那我也分享下我最近弄的全局禁止*.dll
置顶 *   
访问受保护的文件（设全局保护） 例外阻止 *.dll
目前是在虚拟机中学习hips 实机用小红
虚拟机中貌似正常 除了scvhost会修改两个左右dll  系统应可正常使用（猜想 不能更新补丁 更新软件）
同理全局例外阻止*.exe （就试了一次 ）
犹豫没有普遍性  还是.........
请各位大侠请教

墨家小子

lixihong10 发表于 2016-4-19 20:31
我的RD保护移除了，所以没有拦截到（后面找到原因所在了检查HIPS的时候才发现）

Windows Registry Edi ...

嗯，知道了没有拦截到
基于以上你认为VIPRE、eset拦截的IE注入conhost并不是注入，是不是？

supervir

这帖子这么热！

lixihong10

墨家小子 发表于 2016-4-19 20:35
嗯，知道了没有拦截到
基于以上你认为VIPRE、eset拦截的IE注入conhost并不是注入，是不是？

conhost 本来就是执行 IE漏洞的远程代码。
就像你打开CMD 然后 ESET 就会提示 那个。

墨家小子

lixihong10 发表于 2016-4-19 20:39
conhost 本来就是执行 IE漏洞的远程代码。
就像你打开CMD 然后 ESET 就会提示 那个。

是执行不是被注入呗？我对汉语言不是很精通

墨家小子

supervir 发表于 2016-4-19 20:38
这帖子这么热！

因为大家对于带有引号的标题都十分关注

supervir

墨家小子 发表于 2016-4-19 20:44
因为大家对于带有引号的标题都十分关注

我说这么热闹呢，原来成焦点了。

墨家小子

supervir 发表于 2016-4-19 20:51
我说这么热闹呢，原来成焦点了。

“当然了”

supervir

墨家小子 发表于 2016-4-19 20:53
“当然了”

看把你“美”的，都快夏天了，围脖是不是该换了。

lixihong10

墨家小子 发表于 2016-4-19 20:41
是执行不是被注入呗？我对汉语言不是很精通

win7 64下面解压。

先导入 模拟.reg 注册表。

然后将 {9A88E103-A20A-4EA5-8636-C73B709A5BF8} 复制到 X:\ProgramData 里面。
@="D:\\ProgramData\\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\\cmcfg32.dll"
忘了 你还要修改下注册表 D盘改成你系统盘。

重新启动 explorer。

你再右键任何一个分区的时候看看有没有 注入 提示？
==============================分割线==============================

这个是情况，COMODO 和 ESET 都没有注入的提示，看看你的这款HIPS？ 和SSF？

==============================分割线==============================

这张是ESET 的文件扫描查杀的。


@深山红叶__  来试试 这个 “注入”