毛豆已更新。。。

HEMM

lixihong10 发表于 2016-9-26 09:28
系统免疫修改继续

请把系统正确安装在C盘= =..........
conhost.exe→cmd.exe→YYExplorer.exe

进程: c:\windows\explorer.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c Dat\YYExplorer.exe

这是怎么回事？

lixihong10

HEMM 发表于 2016-9-26 11:48
请把系统正确安装在C盘= =..........
conhost.exe→cmd.exe→YYExplorer.exe

conhost.exe 命令行程序的宿主进程。
所有DOS 命令都有这个。好像 xp之后系统才有。

HEMM

lixihong10 发表于 2016-9-26 11:55
conhost.exe 命令行程序的宿主进程。
所有DOS 命令都有这个。好像 xp之后系统才有。

(⊙o⊙)？原来如此。好高森。

HEMM

68221281 发表于 2016-9-26 00:31
我是在shadow defender下测试的。默认模式是绕过了所有的，就是无任何弹窗，沙盒+hips+防火墙。疯狂模 ...

看不懂，感觉挺厉害的样子。

lixihong10 发表于 2016-9-26 09:28
系统免疫修改继续

win8 win10 ？ 请问你的comodo是默认设置吗？

liulangzhecgr 发表于 2016-9-26 09:51
无往下...

你的debug.log上面有chrome.dll调用失败的记录吗？

lixihong10

68221281 发表于 2016-9-26 12:53
win8 win10 ？ 请问你的comodo是默认设置吗？

win7 修改规则。

liulangzhecgr

68221281 发表于 2016-9-26 13:02
你的debug.log上面有chrome.dll调用失败的记录吗？

在dll规则上，忘了排除运行样本。我以为单文件呢!

k2f2l5t2

看到这里好热闹，小白也进来吹吹。

长话短吹，常规毛豆防火墙小白模式一招联网阻止直接秒杀！（其他hips没弹窗）   一招鲜手杀。      浮云啊~~   上图：







几点说明：

1）我的毛豆防火墙软件的常规小白模式（小白模式可包含沙盒只是我不用毛豆沙盒禁用），但小白模式并不是毛豆安装后的默认设置而是比默认设置弹窗频率高点但安全绝不疯狂，防火墙联网肯定勾选是“自定义规则”的（而默认设置是安全模式但从不用），防火墙设置的高级设置里全添加勾选，没有添加使用任何规则完全毛豆自己默认的。

2）YYExplorer  价格表（或没隐藏的Dat文件夹外面的价格表） 毛豆防火墙弹窗阻止联网后毛豆界面——右上任务打开——常规任务——显示连接里无联网显示（但如果允许就有其联网显示了）

3）信誉价格表解压后Dat文件夹里面的全部都隐藏了就已经提醒要注意了。

4）上面图2这么多杀毒软件不报毛豆也不报（http://r.virscan.org/report/86d7eb00faca0c9d40776b89320ac895          Comodo         15023         5.1         2016-09-25         没有发现病毒） ，毛豆很正常的。

5）既然都过了这么多的杀软其他的就不试了。

6）所以说，防火墙就是防盗门，1个好的强大的防盗门貌似能抵上10个保安，这是我在这里瞎吹牛的： http://bbs.kafan.cn/thread-1854313-1-1.html           （不过我以前 现在可都没单奔哦）

=================
很想知道这个所谓的远控木马很安静又不占用资源联网后发作起来会是什么样的了？可惜这个看不到，我已经允许了它联网好长时间了，可惜联网显示连接里输出输入都很小无变化。

k2f2l5t2 发表于 2016-9-26 15:07
看到这里好热闹，小白也进来吹吹。

长话短吹，常规毛豆防火墙小白模式一招联网阻止直接秒杀！（ ...

厉害，防火墙对付联网病毒果然很有用，hips全过了但就不让你联网，制作者也没辙。但是万一遇到这个远控类似方式，但我劫持你系统进程联网的咋办(・o・)，这里的hips可是没有弹窗的哦。所以个人觉得，d+沙盒严格的规则还是需要的