帮忙分析下此行为的源头

显示全部楼层 · 发表于 2018-3-6 10:48:04

comsafe 发表于 2018-3-6 10:46
试试看，关键这个联网动作时间是随机的，看来要一直开着监控才行

嗯，添加一个过滤器就行了。

显示全部楼层 · 发表于 2018-3-6 10:48:12

cloud01 发表于 2018-3-6 10:42
肯定是注入了。

应该是了，先研究下，实在找不到就直接用规则吧

显示全部楼层 · 发表于 2018-3-6 10:51:29

comsafe 发表于 2018-3-6 10:48
应该是了，先研究下，实在找不到就直接用规则吧

HIPS要用的。。

显示全部楼层 · 发表于 2018-3-7 05:24:59

驱动都定位不了，规则没法写吧。有了PID用任务管理器就能定位到被注入的explorer进程，然后可以用system explorer或者一堆手杀工具（火绒剑，powertool之类）来查看那个进程是被哪个驱动调用的，然后至少就能找到WPS的那个驱动在哪里，再去写规则也不迟。弹窗是explorer的联网，你找wps的进程第一肯定找不到，第二能有用么。

我是不知道那个注入的本体找不到的话你是怎么写规则的，全局禁止explorer出站么

显示全部楼层 · 发表于 2018-3-7 10:12:37

欧阳宣发表于 2018-3-7 05:24
驱动都定位不了，规则没法写吧。有了PID用任务管理器就能定位到被注入的explorer进程，然后可以用system ex ...

大意了，忽略了小细节
发现右键菜单有个wps云，指向一个dll文件，然后删除了以后，竟然没有这个联网动作了

显示全部楼层 · 发表于 2018-3-7 10:34:43

comsafe 发表于 2018-3-7 10:12
大意了，忽略了小细节
发现右键菜单有个wps云，指向一个dll文件，然后删除了以后，竟然没有这个联网动作 ...

用什么方法发现右键菜单指向哪里dll？

显示全部楼层 · 发表于 2018-3-7 11:25:40

mr_bean_forever 发表于 2018-3-7 10:34
用什么方法发现右键菜单指向哪里dll？

CCleaner

显示全部楼层 · 发表于 2018-3-7 11:29:10

comsafe 发表于 2018-3-7 11:25
CCleaner

谢谢

[求助] 帮忙分析下此行为的源头