绕主防/Hips的磁碟机新变种 VS 微点

时间简史

谢谢楼主啦
哈哈
还是多不过微点撒!~~

kuririn

原帖由 Nblock 于 2008-3-2 11:53 发表
自己看人家中文写的很清楚了吧  hips防不住直接被抹掉 只有靠单纯的拦截hips拦截器才能过关  创建驱动文件然后加载驱动文件，微点行为分析后还能把病毒清除 病毒没抹掉微点反而被微点干掉 说实话 ...

除非你能证明微点有让磁碟机加载驱动

不过即使这样微点能防住也没什么

毕竟微点是改良过才能防住磁碟机的啊

谁知他是不是特别针对磁碟机行为的  不知相同技术不同行为的病毒微点表现如何

ps : 我说的是改良不是升级

kuririn

看看你的衍生物有没有 dnsq.dll 吧



我看应该是磁碟机还没加载驱动  就被微点干掉了吧

不然衍生物怎么会没有 dnsq.dll

有种就等磁碟机运行完再来防啊

ps : 由于资讯不足我只能由文件来判断

当然有注册表资讯更好 (step 8. after)

[ 本帖最后由 kuririn 于 2008-3-2 15:09 编辑 ]

kuririn

另外你不用轉帖 也不用羨慕別人會逆向 (病毒)

告訴你用hips你自然就會了

swans

这就是那个超强的磁碟机

taiw_1144

原帖由 kuririn 于 2008-3-2 14:38 发表


除非你能证明微点有让磁碟机加载驱动

不过即使这样微点能防住也没什么

毕竟微点是改良过才能防住磁碟机的啊

谁知他是不是特别针对磁碟机行为的  不知相同技术不同行为的病毒微点表现如何

ps : 我说的 ...

磁碟机刚出来时微点是拦截不了吧，我测试过几次几次都重启，但重启后电脑也没什么异常，生成几个尸体嘛，用微点的程序生成报告清理下就行了。
至于最新的变种，我在样本区碰过几次，都能拦截，上次去找cgx的照片时也碰过两次（骂本人道德败坏也好），不过有没有残留物，我就没去注意了，本人对不能运行的尸体是不会有心里恐惧的了

taiw_1144

不要小看磁碟机，在雨林木风和剑盟经常看到有人发关于中了磁碟机求救的帖子，微点也好，hips也罢，能拦截就行了

黄金马甲出租

那个驱动只不过恢复了系统服务分发表，我想微点不会用硬编码的方式来拦截的，不然就不会多数人报的不一致，牛人可以自己改一下程序释放的文件名测试一下

[ 本帖最后由 黄金马甲出租 于 2008-3-2 18:25 编辑 ]

kuririn

我比較想知道微點哪步開始攔

爱·妖姬

肯定不能让它加驱动,加了驱动后抹去行为的话谁也拦截不了!