楼主: qftest
收起左侧

[原创] ESET hips语法初试与规则强化 (Update: 2016.08.24 官方反勒索规则)

  [复制链接]
断簪
发表于 2016-8-20 22:29:03 | 显示全部楼层
操作是全选吗?
qftest
 楼主| 发表于 2016-8-20 23:05:03 | 显示全部楼层
断簪 发表于 2016-8-20 22:29
操作是全选吗?

FD删除+写入,RD删除+重命名+修改,AD启动/修改状态
mak999
发表于 2016-8-21 12:57:36 | 显示全部楼层
太复杂…智商不够玩
导演AZ
发表于 2016-8-21 16:42:23 | 显示全部楼层
调试进程是干啥
qftest
 楼主| 发表于 2016-8-21 17:44:57 | 显示全部楼层

将调试程序附加到进程。调试应用程序时,可以查看和修改其行为的许多详细信息,访问其数据。
风过无痕~
发表于 2016-8-21 19:40:42 | 显示全部楼层
看到这个贴想到了楼主的hitmanproalert  楼主能分享下吗
断簪
发表于 2016-8-22 20:06:20 | 显示全部楼层
qftest 发表于 2016-8-20 23:05
FD删除+写入,RD删除+重命名+修改,AD启动/修改状态

谢谢
renyifei
发表于 2016-8-23 09:14:16 | 显示全部楼层
qftest 发表于 2016-8-21 17:44
将调试程序附加到进程。调试应用程序时,可以查看和修改其行为的许多详细信息,访问其数据。

如果恶意软件对某个进程进行调试,岂不是很危险
qftest
 楼主| 发表于 2016-8-23 10:39:00 | 显示全部楼层
renyifei 发表于 2016-8-23 09:14
如果恶意软件对某个进程进行调试,岂不是很危险

这个操作确实很敏感,我猜测样本调试的目的恐怕是设置断点将目标程序“挂起”,但调试很少见(直至目前我只见过几次),绝大多数都是注入代码(修改状态)借壳执行
renyifei
发表于 2016-8-23 10:49:54 | 显示全部楼层
qftest 发表于 2016-8-23 10:39
这个操作确实很敏感,我猜测样本调试的目的恐怕是设置断点将目标程序“挂起”,但调试很少见(直至目前我 ...

有什么可以防御的规则吗
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 07:40 , Processed in 0.094368 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表