【双击敢死队何在】模拟操作样本

显示全部楼层 · 发表于 2016-8-16 13:35:00

COMODO殺了

显示全部楼层 · 发表于 2016-8-16 13:43:21

lovelive10010 发表于 2016-8-16 13:27
果然还是IDP比较厉害

AVG要是现在恢复成2011、2012年的UI我宁愿买正版！

显示全部楼层 · 发表于 2016-8-16 13:59:05

SSF虚拟机测试，到第三个弹窗时自启动，病毒行为已经很典型了

显示全部楼层 · 发表于 2016-8-16 14:02:41

胖福发表于 2016-8-16 13:43
AVG要是现在恢复成2011、2012年的UI我宁愿买正版！

听说avast要整合IDP组件了

显示全部楼层 · 发表于 2016-8-16 14:06:44

你看我头像发表于 2016-8-16 09:58
诺顿解压：

SEP SCEP 不报。。

显示全部楼层 · 发表于 2016-8-16 14:39:59

显示全部楼层 · 发表于 2016-8-16 15:53:18

lovelive10010 发表于 2016-8-16 14:02
听说avast要整合IDP组件了

没准会整合到2017年！

显示全部楼层 · 发表于 2016-8-16 17:02:21

本帖最后由深山红叶__ 于 2016-8-16 17:09 编辑

え...
没观察到动，真的没有看到...
问一下是怎么动的？瞬移还是有轨迹地动？
引入表看到它有调用SendMessageA，关显示器应该就是这个了。
还看到了有SetCursorPos和mouse_event，也有SetWindowsHookExA ，如果是鼠标瞬移应该是先setcursorpos再mouse_event或者只用mouse_event，如果有轨迹大概是用的JOURNALPLAYBACK？

真的检查不到动啊，求明示
我自制了辣鸡的鼠标位置检测，没有测到鼠标位移，但是我自己写的鼠标位移可以被检测到
XP SP2

从以前的事例看，好像卡巴弹窗后不挂起进程的？此样本大概是钻了这个空子？

显示全部楼层 · 发表于 2016-8-16 17:41:04

深山红叶__ 发表于 2016-8-16 17:02
え...
没观察到动，真的没有看到...
问一下是怎么动的？瞬移还是有轨迹地动？

真是不好意思，我这里已经无法复现相同的情况了，很可能是因为我当时双击时为卡巴2016，现在尝试复现是卡巴2017，这次我特地开着录像双击，在黑屏时间内，弹窗并没有点击。根据当时的发作情况，我的卡巴开的是交互模式，理论上所有在应用程序控制里询问的操作都会弹窗，但是实际上我没看到一个弹窗却看到了一堆允许日志，另外，卡巴的推荐操作可以通过会回车直接来操作，不知道和这个有关么。

显示全部楼层 · 发表于 2016-8-16 17:54:15

过ess，不说了，改密码去

[病毒样本] 【双击敢死队何在】模拟操作样本

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源