唉，确认SD 275被穿透，有样本。

一刀大师

穿透与反穿透，道与魔的关系，永远都会继续争斗下去。肯定没有不破的金钟铁布衫啦。

fufuji97

原帖由 ssyknuwyg 于 2008-11-5 17:05 发表
不会又是FAT自然免疫的吧，看FAT的好像都没事

要是fat免疫的就又白玩了

爱喀吧

我在以前带着SD270测试一个HIPS一个人的规则时候去了几个网的病毒样本区转了几圈一口气解压了一箩病毒,早有发现SD被穿现象,已有在帖里回复说明.电脑崩溃了没样本没说服力


不过SD,和RVS还是很好的软件,大家不要因为有穿就灰心啊.因为没有任何软件是100%的

一刀大师

SD、RVS全被打穿了。下载了楼主、woods12345和宋版提供的样本，在虚拟机中试了下，没有不破的影子啊
下图是三个样本：

SD275全盘影子下运行样本，重启后，多出三个进程：debug.exe 、userinit.exe 、Sestem.exe。

RVS直接拦截加载驱动，重启后，多出一个进程：userinit.exe

转贴：
病毒创建userinit.exe，放入到%systemroot%system32目录下。然后，userinit.exe开始接手工作。userinit.exe进程结束。
　　userinit.exe上台后，开始创建svchost.exe进程。任务完成后，userinit.exe进程自动结束
　　svchost.exe就是主角登场了，它开始在本地端口4444号上监控，同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。如果它想，估计还会下载其它N多病毒。
　　通过以上三个动作，病毒已完成取得了系统指挥大权的全部过程。当病毒干完它想干的事情后，一切进程都稍无声息的消失不见。于是乎，你不小心的话，根本就不会认为你的系统已被成功入侵了。真是天衣无缝呀！！前面两个进程，在进程列表里，停留的时间极短，几乎是一闪而过。而后面主角svchost.exe，我想你怎么也不会怀疑到它头上。系统服务的核心进程，大部分都是用它启动.
　　另外，最新的机器狗病毒，arp防火墙监控不到!!
　　穿破还原后，连接IP为xxx.xxx.xxx.xxx这个IP下载更厉害的变种病毒，破坏GHOST文件，自动打开SERVER服务，局域内迅速传播！

[ 本帖最后由 一刀大师 于 2008-11-6 07:48 编辑 ]

一刀大师

宋版，你用这些样本，测试下正版PS影子系统2008，看看国产的影子能不能攻破。

fufuji97

原帖由 一刀大师 于 2008-11-5 20:03 发表
宋版，你用这些样本，测试下正版PS影子系统2008，看看国产的影子能不能攻破。

你的测试都没做完呢，先把虚拟机变成fat文件格式再来一遍

手写连笔王

晕，看来C盘还是FAT32格式比较保险吧？这么快又被穿透了。。。

sr0550

[:xi41:] 真巧今天中午我也中了这个。的确被穿。然后用360搞定了。
现在装了个360还原保护器。不知道能不能防穿。

[ 本帖最后由 sr0550 于 2008-11-5 21:31 编辑 ]

xxx1900

不敢测试，来学习下，等待SD275升级了

一刀大师

还真是没有不破的影子啊！！！