楼主: tgzw1680
收起左侧

[交流探讨] 这两个病毒是利用了卡巴的bug吗?

[复制链接]
pal家族
发表于 2019-4-2 19:25:59 | 显示全部楼层
本帖最后由 pal家族 于 2019-4-2 19:27 编辑

补充截图
无标题.jpg 请看小字









等一下我好像没仔细看贴,,,,,,
kaba666
发表于 2019-4-2 19:28:30 | 显示全部楼层
pal家族 发表于 2019-4-2 19:24
低限制组自动模式下,询问等于放行。

哈哈,这个都知道,人家问是手动模式下!
pal家族
发表于 2019-4-2 19:29:56 | 显示全部楼层
kaba666 发表于 2019-4-2 19:28
哈哈,这个都知道,人家问是手动模式下!

请见谅
huang1111
发表于 2019-4-2 22:03:16 | 显示全部楼层

嗯哼?!我这回答有问题嘛

评分

参与人数 1人气 +1 收起 理由
pal家族 + 1 你这个想都不用想肯定是错的

查看全部评分

tgzw1680
 楼主| 发表于 2019-4-4 01:17:39 | 显示全部楼层
还是自己动手搞定了,病毒利用com接口改了密码。卡巴对这个不拦截
john_chu
发表于 2019-4-4 10:55:49 | 显示全部楼层
就用win10自带的杀毒软件,也没有中毒过啊
Wesly.Zhang
发表于 2019-4-5 10:19:41 | 显示全部楼层
本帖最后由 Wesly.Zhang 于 2019-4-5 13:27 编辑
tgzw1680 发表于 2019-4-4 01:17
还是自己动手搞定了,病毒利用com接口改了密码。卡巴对这个不拦截

Hello,

这个要看是通过 shell 方式还是释放出一个 vbs 或者 bat 文件执行方式的。

无论以上哪一种,根据 shell 方式修改,看这个程序在什么分组里面,我记得 HIPS 对调用应用程序接口这个监控点在 64 位系统下有限制。vbs或者bat文件执行,应该会拦截。实体文件应该会被分配到低限制组里面,对这个编组发起的的权限继承关系,即使被调用的程序是受信任的,让然会被临时视为低限制组中的程序,这是权限继承的关系。
2019-04-05_110603.png
2019-04-05_132644.png
tgzw1680
 楼主| 发表于 2019-4-5 14:13:24 | 显示全部楼层
Wesly.Zhang 发表于 2019-4-5 03:19
Hello,

这个要看是通过 shell 方式还是释放出一个 vbs 或者 bat 文件执行方式的。

亲,你说的我都知道,麻烦试试帖子里面的病毒,这个和你说的不一样。
Wesly.Zhang
发表于 2019-4-5 14:35:04 | 显示全部楼层
tgzw1680 发表于 2019-4-5 14:13
亲,你说的我都知道,麻烦试试帖子里面的病毒,这个和你说的不一样。

Hello,

你试试在 记事本 里面写上

  1. @echo off

  2. net user demo /add
复制代码


然后重命名成 bat 文件,然后双击运行,卡巴斯基开启交互保护模式,应该弹窗提示,有没有这种提示?
tgzw1680
 楼主| 发表于 2019-4-6 00:21:54 | 显示全部楼层
Wesly.Zhang 发表于 2019-4-5 07:35
Hello,

你试试在 记事本 里面写上

这个肯定拦截,我帖子里面的病毒不拦截
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 10:55 , Processed in 0.110871 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表