主防测试

，就一个.

江小鱼 发表于 2018-6-12 09:17
因为我大学时代，就因为相信某某杀软双击无所畏惧，就实机双击

我真是对你无语了。。

哈哈哈

momng

ELOHIM 发表于 2018-6-11 08:45
单位是win 7 MBR.
无解。

不用GHOST，直接纯安装（双击安装程序或者纯光盘安装），WIN7安装程序会自动识别GPT硬盘，前提是转成GPT硬盘，并建立好EFI分区；

如果用WinNTSetup安装，需要修改里面的引导文件。

ELOHIM

momng 发表于 2018-6-12 22:54
不用GHOST，直接纯安装（双击安装程序或者纯光盘安装），WIN7安装程序会自动识别GPT硬盘，前提是转成GPT ...

谢谢，这个，我以前学会了。。
只是激活不方便。

275751198

驭龙 发表于 2018-6-11 12:51
我现在比较担心的是挖矿和勒索、远控、高等rootkit以及0day威胁，这些爆发的比较大

当天朝还沉浸在 外{过}{滤}挂诱骗用户手动放行的病毒环境里，国外rootkit、0day、都家常菜了。我记得加密勒索都席卷全球多久了，国产还靠云拉黑云主防，最后一个wanna cry 靠永恒之蓝工具进行内网传播，靠云的都GG了

275751198

，就一个. 发表于 2018-6-12 15:26
哈哈哈

我TM也是，你可以翻翻我发的帖子https://bbs.kafan.cn/thread-2089439-1-1.html

877906025Z

关闭文件监控，双击没反应，管理员运行独霸拦截。瑞星安全云终端没反应，GG

abc277399

360  不敢双击

linkin502

renyifei 发表于 2018-6-10 23:47
ESET不开交互没意思，防火墙HIPS全交互路过

你是英雄啊，这样的弹窗密集度都没有烦死你啊

安全守护者

1. 行为类别        行为等级        行为说明
   
2. 进程开始执行        [普通]        被 vasstarter.exe（1152）创建的进程开始执行
   
3. 脱壳        [敏感]        代码自解压，逃避分析与查杀
   
4. 加载模块        [普通]        加载模块 HarddiskVolume2\Windows\System32\wow64.dll
   
5. 检测分析环境        [普通]        通过 DiskOperation 技术检测虚拟机或调试器，逃避分析与查杀
   
6. 变更权限        [高危]        改变进程的权限
   
7. 设置注册表中键值        [敏感]        设置注册表中键 \REGISTRY\A\{75F4E718-2E55-191A-33C0-FC2552A0B4D6}\LOCALSTATE\COMMON\TASKWATCHDOG 的值 ContentDeliveryManager.Background.SoftLanding.UpdatePlacementTask
   
8. 删除注册表键值        [高危]        删除注册表键 \REGISTRY\A\{75F4E718-2E55-191A-33C0-FC2552A0B4D6}\LOCALSTATE\COMMON\TASKWATCHDOG 的值 M
   
9. 写入文件        [高危]        写入文件 HarddiskVolume2\Users\win10user\AppData\Local\Packages\Microsoft.Windows.Cortana_cw5n1h2txyewy\LocalState\AppIconCache\100\{306DA561-98CA-48BA-A603-A2953424ABC1}.~tmp
   
10. 修改文件时间        [高危]        修改 HarddiskVolume2\Users\win10user\AppData\Local\Packages\Microsoft.Windows.Cortana_cw5n1h2txyewy\LocalState\AppIconCache\100\{306DA561-98CA-48BA-A603-A2953424ABC1}.~tmp 的创建时间为 2017-12-19 04_51_46
    
11. 读取文件        [敏感]        读取文件 HarddiskVolume2\Users\WIN10U~1\AppData\Local\Temp\ArmUI.ini
    
12. 创建互斥量        [敏感]        创建互斥量 Global\SyncRootManager 防止重复感染
    
13. 跨进程内存写入        [高危]        修改进程 reader_sl.exe 的内存数据
    
14. 读取系统文件        [敏感]        读取文件 HarddiskVolume2\ProgramData\Microsoft\Windows\ClipSVC\tokens.dat
    
15. 系统调用异常        [敏感]        异常的系统调用方式
    
16. 访问网络服务        [高危]        获取系统提供的socket服务
    
17. 发送网络数据包        [高危]        向 0.0.0.0: 0（Unknown Host）发送网络数据
    
18. 接收网络数据包        [高危]        接收来自 0.0.0.0: 0 的数据包
    
19. 创建可执行程序        [高危]        创建可执行程序 HarddiskVolume2\Windows\Temp\SDIAG_c7df83ae-c13a-4912-bd0a-80a083cfbdda\DiagPackage.dll
    
20. 检测虚拟机        [高危]        通过 IsDebuggerPresent 技术检测虚拟机或调试器，逃避分析与查杀
    
21. 删除文件        [敏感]        删除文件 C:\Users\win10user\AppData\Local\Temp\zjgwmf5i.qwq.ps1

复制代码

金刚 正常

ynghaos

71212345 发表于 2018-6-11 12:04
NS和SEP的效果怎么样，有些好奇

NS 文件监控和行为防护只能同时关