楼主: Dolby123
收起左侧

[病毒样本] rasphone.exe

  [复制链接]
snmx
发表于 2016-12-27 10:24:53 | 显示全部楼层
可恨的是McAfee与Symantec一直没有入库。
fireherman
发表于 2016-12-27 10:33:27 | 显示全部楼层
ysj963 发表于 2016-12-27 09:47
我不定时有文件产生。。。我设置询问后不就会有写入提示吗?假如我只允许cmd.exe写特定文件夹,并且防止 ...



【询问】就是弹窗,选择【允许】(放行),还是【拒绝】(阻止)。

假如我只允许cmd.exe写特定文件夹,并且防止注入cmd.exe,这样的方法是不是可以呢。如果是否还要防调用?


你这个问题本身就有很大的误解:

1,cmd.exe (程序)本身是【开启DOS命令行】,但【DOS命令】并不是由cmd.exe生成的,它只是调用(父进程),例如DOS命令 dir / del /cls / copy 等等,并不是由cmd.exe来进行编译的。

2,【防注入】是AD规则(修改程序状态),此规则对应的不是磁盘静态文件,而是在内存里的驻留程序。

3,不明白你这个【防调用】是什么意思,例如编写一个bat批处理文件,然后双击它,此时就是调用cmd.exe;关键是要知道它这个调用是“合法”(如一个自己编写的批量修改文件名)还是“非法”(如一些流氓软件通过它来注册服务)。

fireherman
发表于 2016-12-27 10:37:10 | 显示全部楼层
linzh 发表于 2016-12-27 09:28
放心,没入库时hips不手动设置锁定文件夹绝对GG,毕竟没主防,没什么好双击的



你当ESET的AMS透明的啊?

虽然……虽然……虽然……和ATC、SONAR相比……那个…………但是……人家AMS好歹也算个主防嘛。

linzh
发表于 2016-12-27 10:51:33 | 显示全部楼层
fireherman 发表于 2016-12-27 10:37
你当ESET的AMS透明的啊?

虽然……虽然……虽然……和ATC、SONAR相比……那个……… ...

那就双击一下啊
另外人家卡巴都启发出来了这个ESET的高启发干什么去了
Dolby123
 楼主| 发表于 2016-12-27 10:55:23 | 显示全部楼层
彩虹丶// 发表于 2016-12-26 23:21
像bd一样。。。kd.xxxxxx??!

以卡巴的尿性,应该会定个帅气的名称 ,绝不是XXX那么黄
彩虹丶//
头像被屏蔽
发表于 2016-12-27 10:56:09 | 显示全部楼层
Dolby123 发表于 2016-12-27 10:55
以卡巴的尿性,应该会定个帅气的名称 ,绝不是XXX那么黄

是的
ysj963
发表于 2016-12-27 11:43:49 | 显示全部楼层
fireherman 发表于 2016-12-27 10:33
【询问】就是弹窗,选择【允许】(放行),还是【拒绝】(阻止)。

就是我设置询问写入文件时正常的都允许,以后其他的的不允许,相当于半学习模式,但又要保证,被允许的程序永远是干净的,怎么办?
fireherman
发表于 2016-12-27 11:57:04 | 显示全部楼层
linzh 发表于 2016-12-27 10:51
那就双击一下啊
另外人家卡巴都启发出来了这个ESET的高启发干什么去了



入库了,还启发什么?

@ysj963   

那你就开交互模式,然后通过交互模式产生的弹窗,逐一排除呗。

linzh
发表于 2016-12-27 12:17:13 | 显示全部楼层
ysj963 发表于 2016-12-27 11:43
就是我设置询问写入文件时正常的都允许,以后其他的的不允许,相当于半学习模式,但又要保证,被允许的程 ...

如果你不怕你手点弹窗点抽筋的话,开交互模式慢慢设置。
这种情况卡巴斯基的应用程序控制会更适合你一些,卡巴自动分受信任组和低限制组
ysj963
发表于 2016-12-27 12:40:35 | 显示全部楼层
linzh 发表于 2016-12-27 12:17
如果你不怕你手点弹窗点抽筋的话,开交互模式慢慢设置。
这种情况卡巴斯基的应用程序控制会更适合你一些 ...

卡巴应用程序有个不好的地方,不敏感。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 10:00 , Processed in 0.103857 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表