发现最新的Beta版本guard32.dll 问题

xixi0000

最新的Beta版本guard32.dll 由以前的修改[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]      <AppInit_DLLs>位置   变成了对系统API进行拦截 API HOOK

导致了大量的入口点错误

如：入口点错误：NtCreateFile (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误：NtCreateProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误：NtCreateProcessEx (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误：NtDeleteFile (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误：NtLoadDriver (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误：NtSetInformationProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误：ZwCreateFile (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误：ZwCreateProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误：ZwCreateProcessEx (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误：ZwDeleteFile (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误：ZwOpenFile (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误：ZwSetInformationProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)

一下子丫

希望楼下解释

星之梦

放心，这个没有问题，整合CMF的缘故。
API HOOK都是CMF的

楼主用什么工具查看的？
SRE 报的API HOOK危险等级: 一般

[ 本帖最后由 星之梦 于 2009-1-17 15:02 编辑 ]

xixi0000

不是不放心  ，只是提醒一下其他人，不要误恢复。
还有就是这回360、SREng不会自动修复AppInit_DLLs值啦，因为新版本不修改那个位置啦

xixi0000

SREng显示的危险等级是一般，而扫描日志里却显示危险等级为高。。

星之梦

我还是相信显示的。


因为之前CMF测试的时候SRE显示里危险等级都是高，
之后CMF的正式版就变为一般了

厨房菜刀

又学到了 新版本新问题 我还是再学习学习再换[:26:]

cnss520

吓我一大跳
原来没事

一力破十会

第一次发现这个问题的时候,我正在用S3,打开SREng的时候,弹出一大片,吓一猛跳!
后来用cis,也是这样...

麻起胆子,用360、SREng全面恢复了一下,再用cis的诊断---没有丝毫问题!
呵呵,高兴啊.
以前这样绝对会出问题的.

到底是cis加强了保护,
还是360、SREng改进了自动修复AppInit_DLLs值了呢?

不管怎样,这还是值得高兴的事.