据说这个下载者可以穿微点和他的墙

zipponan

05版微点的下载网址呢？下载者从那个网址下载的？

coolpilot

微点应该加个规则，下载微点只能在官网或者授权合作网站下载，否则报警提示。

深红的雪

给出那个下载地址

http://xiayang1221.65free.cn/MP_Setup1112b.exe

maxutao

原来更喜欢手动hips的，后来变懒了，不想动，就不用毛豆了

冷冷

这个Dloader不同的地方是：没有修改IE内存的，第一步便启动IE，这里没有什么可疑的，所以微点没有拦到吧
而一般的穿墙Dloader 会修改IE内存的
----------------------------------

PCT防穿墙不错的


[ 本帖最后由 冷冷 于 2008-8-14 02:39 编辑 ]

深红的雪

其实是利用了windows执行/加载文件的机制，并不是什么高深的技术
例如在程序启动时，如果需要加载某个dll，在没有指明详细路径的情况下，程序会首先搜索自身文件夹，若有则加载之，若没有才搜索system32等path变量中的文件夹

该程序在IE的文件夹下生成的rasapi32.dll与系统自带rasapi32.dll同名，故IE启动时会加载之
这样就不用远线程控制IE了
应该说是一个比较YD的做法

小乔美子

你的这个防火墙怎么中文的? D+没汉化呢

dragoonwing

过了以后了。。。下载的如果有病毒行为微点一样会拦截的把。。。

野马

下载了一个正常的文件
如果下载一个真的病毒
肯定就被微点卡嚓了

yjwfdc

不好意思，过不了智能hips eq+陷井规则简化版

2008-08-16 16:43:49    创建注册表值      操作:允许
进程路径:D:\病毒\Server\Server.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Network
注册表名称:DownURL
触发规则:应用程序规则->----低------>d:\病毒\*


2008-08-16 16:43:49    创建文件      操作:使用任务隔离区操作
进程路径:D:\病毒\Server\Server.exe
文件路径:C:\Program Files\Internet Explorer\rasapi32.dll
触发规则:应用程序规则->030_禁止网马在ie目录生成文件-y-低-->*->?:\Program Files\Internet Explorer\*


2008-08-16 16:43:53    运行应用程序      操作:允许
进程路径:D:\病毒\Server\Server.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:应用程序规则->----------低--------->d:\病毒\*


2008-08-16 16:44:08    运行应用程序      操作:允许
进程路径:D:\病毒\Server\Server.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c erase /F /A "D:\病毒\Server\Server.exe" > nul
触发规则:应用程序规则->----------低--------->d:\病毒\*