收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 毒眼的安装 使用小测
返回列表 发新帖
查看: 2828|回复: 2
收起左侧

毒眼的安装 使用小测

[复制链接]
白玉箫
发表于 2008-4-24 09:48:21 | 显示全部楼层 |阅读模式
原来就听过
一直没用过
今天随便拿几个包测试下看其效果怎么样
提点建议:安装的时候是否可以不输入那么多信息
太复杂了 现在的人都是越来越懒
闲话少说 安装完毕不需要重启
只是重启explorer 这个过程跟重启也差不多。。。
看下安装的时候的日志:
2008-04-25 07:53:01    底层写磁盘操作      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
操作磁盘:\Device\Harddisk0\DR0


2008-04-25 07:53:07    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\drivers\Est01000.sys


2008-04-25 07:53:11    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\drivers\Est01002.sys


2008-04-25 07:53:15    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\drivers\Est01003.sys


2008-04-25 07:53:18    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\drivers\Est01004.sys


2008-04-25 07:53:32    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\Est2015.exe


2008-04-25 07:53:40    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\drivers\Est01001.sys


2008-04-25 07:53:42    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\Apphelp.dll


2008-04-25 07:53:44    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\regsvr32.exe
命令行:/s "C:\Program Files\E-Scout\Est03001.dll"


2008-04-25 07:53:46    修改其它进程内存      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
目标进程:C:\WINDOWS\system32\regsvr32.exe


2008-04-25 07:53:48    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\CLBCATQ.DLL


2008-04-25 07:53:50    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\COMRes.dll


2008-04-25 07:53:52    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\SETUPAPI.dll


2008-04-25 07:53:54    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\LINKINFO.dll


2008-04-25 07:53:55    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\ntshrui.dll


2008-04-25 07:53:57    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\ATL.DLL


2008-04-25 07:54:04    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\NTMARTA.DLL


2008-04-25 07:54:06    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\SAMLIB.dll


2008-04-25 07:54:08    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\Program Files\E-Scout\Est02000.exe
命令行:-install


2008-04-25 07:54:10    修改其它进程内存      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
目标进程:C:\Program Files\E-Scout\Est02000.exe


2008-04-25 07:54:16    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\shdocvw.dll


2008-04-25 07:54:22    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\NETSHELL.dll


2008-04-25 07:54:24    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\rtutils.dll


2008-04-25 07:54:25    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\credui.dll


2008-04-25 07:54:27    加载库文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
文件路径:C:\WINDOWS\system32\iphlpapi.dll


2008-04-25 07:56:06    底层写磁盘操作      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
操作磁盘:\Device\Harddisk0\DR0


2008-04-25 07:56:09    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\Program Files\E-Scout\Est02001.exe
文件路径:C:\Program Files\E-Scout\Est02002.exe


2008-04-25 07:56:11    修改其它进程内存      操作:允许(自动创建规则)
进程路径:C:\Program Files\E-Scout\Est02001.exe
目标进程:C:\Program Files\E-Scout\Est02002.exe


2008-04-25 07:56:14    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\Program Files\E-Scout\Est02001.exe
文件路径:C:\Program Files\E-Scout\Est02003.exe


2008-04-25 07:56:16    修改其它进程内存      操作:允许(自动创建规则)
进程路径:C:\Program Files\E-Scout\Est02001.exe
目标进程:C:\Program Files\E-Scout\Est02003.exe


2008-04-25 07:56:20    底层写磁盘操作      操作:允许(自动创建规则)
进程路径:C:\Program Files\E-Scout\Est02001.exe
操作磁盘:\Device\Harddisk0\DR0


2008-04-25 07:56:22    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\Program Files\E-Scout\Est02003.exe
文件路径:C:\Program Files\E-Scout\Est02014.exe


2008-04-25 07:56:24    修改其它进程内存      操作:允许(自动创建规则)
进程路径:C:\Program Files\E-Scout\Est02003.exe
目标进程:C:\Program Files\E-Scout\Est02014.exe


2008-04-25 07:56:28    结束/挂起进程      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\est51AB4HJXL32\setup.exe
目标进程:C:\WINDOWS\Explorer.EXE

上面的日志写了一个底层的磁盘读写 这个是正常的 但是为什么要往system32下写Est2015.exe
搞不明白,如果不了解的很容易让人误解,直接当病毒干掉。

安装完成后可以看到一共有5个进程,最少的占用内存4000k+,最多的是8000+k. 进程可以简单结束掉,这点做的太。。。另外发现毒眼鼠标右键也没有毒眼扫描。不清楚这个毒眼是想做成第2个微点还是别的想法?界面简单,上手性一般。毒眼的进程被俺干掉后,发现多了毒眼的菜单,无语。。。。

测试了这个包的病毒 发现毒眼没有几个有反应的,可能是我还不熟悉操作,所以暂不测了。国产的路,需要走的还很长,需要做的还很多。附上病毒包,有兴趣的可以继续测,样本来自kafan,谢谢

点一个病毒文件,点毒眼分析,看结果:
文件全路径: C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\N7\200803-2ND_0273.EXE

运行次数  :  2                                  首次运行时间  : 2008-04-25 08:19:05                                最近运行时间  : 2008-04-25 08:33:05

该程序操作了下列文件:
-------------------------------------------------------------

        文件名      :  C:\WINDOWS\SYSTEM32\KDMFK.EXE
        操作时间  :  2008-04-25 08:19:09
        操作类型  :  新建

        文件名      :  C:\WINDOWS\SYSTEM32\KDJPA.EXE
        操作时间  :  2008-04-25 08:33:08
        操作类型  :  新建

注册表操作分析明细:
-------------------------------------------------------------

        操作时间  :  2008-04-25 08:19:16
        行      为    :  设置
        键      值    :  HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\
        值      名    :  System
        类      型    :  REG_SZ
        旧      值    :   
        新      值    :  kdmfk.exe

        操作时间  :  2008-04-25 08:33:05
        行      为    :  设置
        键      值    :  HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS\
        值      名    :  Directory
        类      型    :  REG_SZ
        旧      值    :  C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5
        新      值    :  C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5

        操作时间  :  2008-04-25 08:33:05
        行      为    :  设置
        键      值    :  HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS\
        值      名    :  History
        类      型    :  REG_SZ
        旧      值    :  C:\Documents and Settings\LocalService\Local Settings\History
        新      值    :  C:\Documents and Settings\Administrator\Local Settings\History

        操作时间  :  2008-04-25 08:33:10
        行      为    :  设置
        键      值    :  HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\
        值      名    :  System
        类      型    :  REG_SZ
        旧      值    :  kdmfk.exe
        新      值    :  kdjpa.exe
这个结果还是不错的 令人眼前一亮,但是只弄出来一个分析,别的没弄出来。看来还是不太熟悉操作。希望有兴趣的可以写个比俺这个相信的测评。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

loveperday
发表于 2008-4-24 09:53:34 | 显示全部楼层
恩,那天我也装了,驱动倒是加载了不少,和微点有的一拼……对病毒反应力不够~~后来居然把我的winrar隔离了,一开始还以为是病毒搞的,结果才发现是他干的好事。冰刃运行他会报毒……
    总之不咋地,还不如微点……
回复

举报

yangzhengming12
发表于 2008-4-24 13:51:47 | 显示全部楼层
在我心中,老师最凶,每天下课到七八点钟

回到家里,爸爸最凶,每天把我打得鼻青脸肿

爸爸不在,妈妈最凶,辅导作业对我从不放松

妈妈走后,老子最凶,翻箱倒柜,想喝一盅就喝一盅。


没听说过毒眼。。。这个东东。  学习哈。 呵呵。

评分

参与人数 1经验 -30 收起 理由
chow2006 -30 抱歉,阁下在12个帖子中的回复均为同一与主

查看全部评分

回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-26 06:03 , Processed in 0.141969 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表