楼主: xiayang12
收起左侧

[微点] 据说这个下载者可以穿微点和他的墙

 关闭 [复制链接]
zipponan
发表于 2008-8-13 22:49:58 | 显示全部楼层
05版微点的下载网址呢?下载者从那个网址下载的?
coolpilot
发表于 2008-8-13 23:20:28 | 显示全部楼层
微点应该加个规则,下载微点只能在官网或者授权合作网站下载,否则报警提示。
深红的雪
发表于 2008-8-14 02:13:14 | 显示全部楼层
maxutao
发表于 2008-8-14 02:16:25 | 显示全部楼层
原来更喜欢手动hips的,后来变懒了,不想动,就不用毛豆了
冷冷
发表于 2008-8-14 02:23:40 | 显示全部楼层
这个Dloader不同的地方是:没有修改IE内存的,第一步便启动IE,这里没有什么可疑的,所以微点没有拦到吧
而一般的穿墙Dloader 会修改IE内存的
----------------------------------

PCT防穿墙不错的


[ 本帖最后由 冷冷 于 2008-8-14 02:39 编辑 ]

评分

参与人数 1经验 +4 收起 理由
polly5771 + 4 版区有你更精彩: )

查看全部评分

深红的雪
发表于 2008-8-14 03:05:12 | 显示全部楼层

回复 25楼 冷冷 的帖子

其实是利用了windows执行/加载文件的机制,并不是什么高深的技术
例如在程序启动时,如果需要加载某个dll,在没有指明详细路径的情况下,程序会首先搜索自身文件夹,若有则加载之,若没有才搜索system32等path变量中的文件夹

该程序在IE的文件夹下生成的rasapi32.dll与系统自带rasapi32.dll同名,故IE启动时会加载之
这样就不用远线程控制IE了
应该说是一个比较YD的做法

评分

参与人数 1经验 +4 收起 理由
polly5771 + 4 版区有你更精彩: )

查看全部评分

小乔美子
头像被屏蔽
发表于 2008-8-14 15:21:12 | 显示全部楼层

回复 5楼 polly5771 的帖子

你的这个防火墙怎么中文的? D+没汉化呢
dragoonwing
发表于 2008-8-14 15:27:22 | 显示全部楼层
过了以后了。。。下载的如果有病毒行为微点一样会拦截的把。。。
野马
发表于 2008-8-14 19:55:43 | 显示全部楼层
下载了一个正常的文件
如果下载一个真的病毒
肯定就被微点卡嚓了
yjwfdc
头像被屏蔽
发表于 2008-8-16 16:53:29 | 显示全部楼层
不好意思,过不了智能hips eq+陷井规则简化版

2008-08-16 16:43:49    创建注册表值      操作:允许
进程路径:D:\病毒\Server\Server.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Network
注册表名称:DownURL
触发规则:应用程序规则->----低------>d:\病毒\*


2008-08-16 16:43:49    创建文件      操作:使用任务隔离区操作
进程路径:D:\病毒\Server\Server.exe
文件路径:C:\Program Files\Internet Explorer\rasapi32.dll
触发规则:应用程序规则->030_禁止网马在ie目录生成文件-y-低-->*->?:\Program Files\Internet Explorer\*


2008-08-16 16:43:53    运行应用程序      操作:允许
进程路径:D:\病毒\Server\Server.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:应用程序规则->----------低--------->d:\病毒\*


2008-08-16 16:44:08    运行应用程序      操作:允许
进程路径:D:\病毒\Server\Server.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c erase /F /A "D:\病毒\Server\Server.exe" > nul
触发规则:应用程序规则->----------低--------->d:\病毒\*
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 08:48 , Processed in 0.088670 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表