这是典型的远程DLL注入行为，SSF现在这么牛逼了？

显示全部楼层 · 发表于 2016-11-15 12:51:01

fireherman 发表于 2016-11-15 12:32
@墨家小子

你说对了，采用HIPS智能模式，双击，AMS（高级内存扫描击杀，终于……）

a1呢？

显示全部楼层 · 发表于 2016-11-15 12:52:29

墨家小子发表于 2016-11-15 12:51
a1呢？

a1.exe 就不用测试了，连扫描都过不了，双击必被AMS杀掉。

显示全部楼层 · 发表于 2016-11-15 12:56:19

fireherman 发表于 2016-11-15 12:52
a1.exe 就不用测试了，连扫描都过不了，双击必被AMS杀掉。

全部关闭就测试hips啊

显示全部楼层 · 发表于 2016-11-15 13:01:09

墨家小子发表于 2016-11-15 12:56
全部关闭就测试hips啊

如果是自动模式/智能模式，必败（8版也更新了【反勒索】模块，和10版不同的是放在HIPS规则里，但是……作用嘛……大家都知道

）

显示全部楼层 · 发表于 2016-11-15 13:39:46

fireherman 发表于 2016-11-15 13:01
如果是自动模式/智能模式，必败（8版也更新了【反勒索】模块，和10版不同的是放在HIPS规则里，但是 ...

不见得吧，高级扫描挺厉害的

显示全部楼层 · 发表于 2016-11-15 13:57:06

墨家小子发表于 2016-11-15 13:39
不见得吧，高级扫描挺厉害的

AMS其实就是病毒库+HIPS的混合体，我意思是单纯HIPS自动模式……必死无疑。

显示全部楼层 · 发表于 2016-11-15 14:04:27

FS全面miss

显示全部楼层 · 发表于 2016-11-15 14:29:27

a1 到底注入什么模块？！
A1创建进程regsvr32.exe 叫注入？！
regsvr32.exe 访问网络叫注入？！

显示全部楼层 · 发表于 2016-11-15 14:36:05

NS杀两个EXE，DLL没有杀

显示全部楼层 · 发表于 2016-11-15 14:55:47

火绒拦截下载a1和a2，gd扫描miss，双击主防kill2x

[可疑文件] 这是典型的远程DLL注入行为，SSF现在这么牛逼了？