收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 虚拟机讨论区 SD260的防狗。。。不會是這樣吧?!
12345下一页
返回列表 发新帖
查看: 8628|回复: 44
收起左侧

[求助] SD260的防狗。。。不會是這樣吧?!

 关闭 [复制链接]
spiha
头像被屏蔽
发表于 2008-6-10 22:10:04 | 显示全部楼层 |阅读模式
本帖最后由 107 于 2010-12-12 01:28 编辑

2008-06-10 22:06:47    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:DSENUM#75932bcd\WINDOWS\system32\userinit.exe
2008-06-10 22:06:47    文件保护(删除文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:47    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:47    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:46    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:DSENUM#75932bcd\WINDOWS\system32\setup.log
2008-06-10 22:06:46    文件保护(删除文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:46    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:46    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:45    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:45    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:DSENUM#75932bcd\WINDOWS\notepad.exe
2008-06-10 22:06:45    文件保护(删除文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:45    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:44    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:44    文件保护(创建文件)     操作:阻止
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:44    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:44    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:43    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:DSENUM#75932bcd\WINDOWS\explorer.exe
2008-06-10 22:06:43    文件保护(删除文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:42    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:41    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:40    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:DSENUM#75932bcd\WINDOWS\setup1.log
2008-06-10 22:06:40    文件保护(删除文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:39    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:39    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:
2008-06-10 22:06:37    文件保护(删除文件)     操作:阻止
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\setup2.log
2008-06-10 22:06:37    文件保护(删除文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\setup1.log
2008-06-10 22:06:36    文件保护(删除文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\notepad.tmp
2008-06-10 22:06:36    文件保护(删除文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\notepad.tmp
2008-06-10 22:06:35    文件保护(删除文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\explorer.tmp
2008-06-10 22:06:35    文件保护(删除文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\explorer.tmp
2008-06-10 22:06:34    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\system32\userinit.tmp
2008-06-10 22:06:32    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\notepad.tmp
2008-06-10 22:06:31    文件保护(创建文件)     操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\explorer.tmp


。。。。。。
偷偷把那幾個系統文件藏起來么。。。。?
然后之后再恢復?。。。。
回复

举报

spiha
头像被屏蔽
 楼主| 发表于 2008-6-10 22:29:07 | 显示全部楼层
。。。 C盘进影子后看看windows下面的setup1.log吧。。

重命名为setup1.exe看看?!
回复

举报

pluto1313
发表于 2008-6-10 23:36:08 | 显示全部楼层
运行病毒时的日志?

[ 本帖最后由 pluto1313 于 2008-6-10 23:39 编辑 ]
回复

举报

Devy
发表于 2008-6-10 23:41:53 | 显示全部楼层
spiha很细心啊!赞一个!
回复

举报

sxingbai
发表于 2008-6-10 23:44:57 | 显示全部楼层
如果狗狗运行了才这样做还不错
恐怕是一启动就这样吧
管它呢
只要不玩狗就行了
回复

举报

sxingbai
发表于 2008-6-10 23:45:32 | 显示全部楼层
另外什么鬼路径呀
回复

举报

SONGBOWEN
发表于 2008-6-10 23:46:09 | 显示全部楼层
我没发现这个现象

没有setup1.log,用EQ 4.0也没见到Windows目录有什么关于explorer.exe的替换操作……
回复

举报

spiha
头像被屏蔽
 楼主| 发表于 2008-6-11 00:22:41 | 显示全部楼层
。。 可能是第一次进入影子的时候备份的。。

父进程明显是SD=。= ..

小宋去跟官方沟通沟通下,,

---------

补充说明一下 这个是SD260C盘进入影子的时候出现的

之后我就重启换回ghost旧版了。。

这样的防狗才不想要- -

[ 本帖最后由 spiha 于 2008-6-11 00:25 编辑 ]
回复

举报

SONGBOWEN
发表于 2008-6-11 00:29:14 | 显示全部楼层

回复 8楼 spiha 的帖子

我汗,我还以为是样本运行时……
怪不得没发现,我进入影子时,EQ临时关掉,怕疯狂的报警……
回复

举报

SONGBOWEN
发表于 2008-6-11 00:48:31 | 显示全部楼层
2008-06-11 00:55:06    修改文件      操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\diskpt.dat
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:55:07    创建文件      操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\diskpt0.sys
触发规则:所有程序规则->系统文件->%SystemDrive%\*


2008-06-11 00:55:12    修改文件      操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:(隐藏文件)C:\diskpt0.sys
触发规则:所有程序规则->系统文件->%SystemDrive%\*


2008-06-11 00:55:15    创建文件      操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\explorer.tmp
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:55:16    创建文件      操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\notepad.tmp
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:55:18    创建文件      操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\system32\userinit.tmp
触发规则:所有程序规则->系统文件->*\Windows\system32\*


2008-06-11 00:55:34    修改文件      操作:允许
进程路径:System
文件路径:C:\diskpt0.sys
触发规则:所有程序规则->系统文件->%SystemDrive%\*


2008-06-11 00:55:36    删除文件      操作:阻止
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\explorer.tmp
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:55:37    删除文件      操作:阻止
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\explorer.tmp
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:55:39    删除文件      操作:阻止
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\notepad.tmp
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:55:40    删除文件      操作:阻止
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\notepad.tmp
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:55:42    删除文件      操作:阻止
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\setup1.log
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:55:43    删除文件      操作:阻止
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\setup2.log
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:55:45    删除文件      操作:阻止
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\system32\userinit.tmp
触发规则:所有程序规则->系统文件->*\Windows\system32\*


2008-06-11 00:55:47    删除文件      操作:阻止
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\system32\userinit.tmp
触发规则:所有程序规则->系统文件->*\Windows\system32\*


2008-06-11 00:55:48    删除文件      操作:阻止
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:C:\WINDOWS\system32\setup.log
触发规则:所有程序规则->系统文件->*\Windows\system32\*


2008-06-11 00:56:15    创建文件      操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:DSENUM#22cdb8a0\WINDOWS\setup1.log
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:56:19    创建文件      操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:DSENUM#22cdb8a0\WINDOWS\explorer.exe
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:56:22    创建文件      操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:DSENUM#22cdb8a0\WINDOWS\setup2.log
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:56:24    创建文件      操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:DSENUM#22cdb8a0\WINDOWS\notepad.exe
触发规则:所有程序规则->系统文件->*\Windows\*


2008-06-11 00:56:25    创建文件      操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:DSENUM#22cdb8a0\WINDOWS\system32\setup.log
触发规则:所有程序规则->系统文件->*\Windows\system32\*


2008-06-11 00:56:27    创建文件      操作:允许
进程路径:C:\Program Files\Shadow Defender\Defender.exe
文件路径:DSENUM#22cdb8a0\WINDOWS\system32\userinit.exe
触发规则:所有程序规则->系统文件->*\Windows\system32\*


果然很强大

可是,最终我也没有看到setup1.log和setup2.log等文件,只见到了tmp文件

不过还好,只有一次这样的操作,进入影子模式时,以后不会再有了。。。。。

下次病毒要是对其他程序下手,SD是不是还要更新啊?!

这样的话,貌似治标不治本唉

[ 本帖最后由 SONGBOWEN 于 2008-6-11 01:00 编辑 ]
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-2 14:27 , Processed in 0.128458 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表