题目省了，进来讨论下吧

显示全部楼层 · 发表于 2008-10-14 18:09:54

刚去HIPS找了个样本
想用MCAFEE试试看防得住不
规则呢
是邪邪版的
遗憾的是
防不住
运行样本后
直接重启
其他滴症状都能看得到
有兴趣的可以去试试
啥症状
你们试试就知道了

样本地址

http://bbs.kafan.cn/thread-346403-1-1.html

以下是MCAFEE的日志

2008-10-14 18:01:53 已由访问保护规则禁止  JUDY\KissJudy C:\Documents and Settings\KissJudy\桌面\install1\install1\install1.exe \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入
2008-10-14 18:01:53 已由访问保护规则禁止  JUDY\KissJudy C:\Documents and Settings\KissJudy\桌面\install1\install1\install1.exe \REGISTRY\USER\S-1-5-21-1417001333-602162358-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run 用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入
2008-10-14 18:01:54 已由访问保护规则禁止  JUDY\KissJudy C:\Documents and Settings\KissJudy\桌面\install1\install1\install1.exe \Registry\Machine\System\CurrentControlSet\Control\Session Manager 用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入
2008-10-14 18:01:54 已由访问保护规则禁止  JUDY\KissJudy C:\Documents and Settings\KissJudy\桌面\install1\install1\install1.exe \REGISTRY\USER\S-1-5-21-1417001333-602162358-725345543-1003 用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入
2008-10-14 18:01:54 已由访问保护规则禁止  JUDY\KissJudy C:\Documents and Settings\KissJudy\桌面\install1\install1\install1.exe \Registry\User\.Default 用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入
2008-10-14 18:01:54 已由访问保护规则禁止  JUDY\KissJudy C:\Documents and Settings\KissJudy\桌面\install1\install1\install1.exe \REGISTRY\USER\S-1-5-21-1417001333-602162358-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached 用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入
2008-10-14 18:01:54 已由访问保护规则禁止  JUDY\KissJudy C:\Documents and Settings\KissJudy\桌面\install1\install1\install1.exe \REGISTRY\USER\S-1-5-21-1417001333-602162358-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings 用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入
2008-10-14 18:01:55 已由访问保护规则禁止  JUDY\KissJudy C:\Documents and Settings\KissJudy\桌面\install1\install1\install1.exe \REGISTRY\USER\S-1-5-21-1417001333-602162358-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings 用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入

[ 本帖最后由笨猪于 2008-10-14 18:23 编辑 ]

显示全部楼层 · 发表于 2008-10-14 18:11:05

[:26:] [:26:]
看来得改改规则了
好希望MCAFEE也能防得住啊

看了日志
起作用的都是RD
FD和AD没有看到

[ 本帖最后由笨猪于 2008-10-14 18:15 编辑 ]

显示全部楼层 · 发表于 2008-10-14 18:51:51

HOHO………………
小白就不做了！！！
楼主伟大啊

显示全部楼层 · 发表于 2008-10-14 19:21:28

已知加强型规则能够防住这个东西

已由访问保护规则禁止 E:\Downloads\install1\install1.exe C:\WINDOWS\system32\brastk.exe
通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件已阻止的操作: 创建

已由访问保护规则禁止E:\Downloads\install\install1.exe \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入

已由访问保护规则禁止 E:\Downloads\install1\install1.exe \REGISTRY\USER\S-1-5-21-515967899-839522115-1343024091-500\Software\Microsoft\Windows\CurrentVersion\Run
用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入

已由访问保护规则禁止 E:\Downloads\install1\install1.exe C:\WINDOWS\system32\dllcache\figaro.sys
用户定义的规则:FD 禁止在windows下创建可疑的SYS驱动已阻止的操作: 创建

已由访问保护规则禁止 E:\Downloads\install1\install1.exe \Registry\Machine\System\CurrentControlSet\Control\Session Manager 用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入

已由访问保护规则禁止 E:\Downloads\install1\install1.exe E:\Downloads\install1\delself.bat
用户定义的规则:FD 禁止在本机创建有风险的BAT文件已阻止的操作: 创建

已由访问保护规则禁止 E:\Downloads\install1\install1.exe \REGISTRY\USER\S-1-5-21-515967899-839522115-1343024091-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached
用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入

实机试毒有风险，要试最好去虚拟机里试
或者根本就不要自己没事找事去玩毒，否则早晚肯定出事

[其他相关] 题目省了，进来讨论下吧