关于抓抓那个试毒的帖子。

月光下的忍者

我电脑是因为表情故障~~


过年没放爆竹，所以搜狗等软件摇身一变，变成黑炸弹来庆祝~


虽然没有爆炸，但是也不能用了~


旧的不去新的不来，我下了个新的，换上了新的蘑菇点点的表情，嘿嘿~··


给你看看，可爱吧~~

lizw9382

我用的是EQ的FD锁定规则
运行后，读了下硬盘后
就没什么事了

aria

原帖由 saga3721 于 2009-2-3 10:22 发表
另外：问抓抓一个问题，如果这个病毒是整合到正常程序当中，你安装程序的时候又关闭了毛豆的d+，不知道会是什么结果？？

不是有红伞在吗？结果当然是被红伞干掉。但是这个问题本身好像就有点问题，试问有几个人能 ...

以前用ssm的时候,在释放安装的时候可能不知道安装程序在硬盘放了啥,但病毒总是要运行的,这时AD就是提示.阻止前注意下父进程和子进程,然后基本可以找到问题文件.
当然前提是你能忍受不停跳出的询问框.....

saga3721

光点不行，恐怕没有一种病毒的单行为是正常的程序没有的吧，还是分不清AD阻止的是好是坏

chenyz_aleck

我有虚拟机，我要玩~
发我邮箱吧！
chenyz@vip.qq.com
谢谢~

aria

病毒的行为很多都是正常程序没有的.而且光看文件名就能判断一些病毒...

saga3721

嗯，强

Magis

原帖由 Mr.Z 于 2009-2-3 11:16 发表
安裝軟件向來都是HIPS的死敵
不過我通常只從官網下載,而且多是出名且有用的
不會隨便去裝某種軟件

要不怎么说好习惯最重要~

星之梦

昨天有空的时候，在GesWall里做了两个测试。
第一个，句柄kill卡巴的，我特意在虚拟机里安装了卡巴进行测试。
2009.02.03 18:09:29 killa8.exe ISOLATE on start from explorer.exe
2009.02.03 18:09:43 killa8.exe READONLY access to \Device\NamedPipe\lsass (File)
2009.02.03 18:09:44 killa8.exe READONLY access to SERVICE OBJECT\Beep (SystemObject)
2009.02.03 18:09:44 killa8.exe READONLY access to C:\WINDOWS\system32\drivers\beep.sys (File)
2009.02.03 18:09:47 killa8.exe REDIRECT access to HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\52582 (Registry)
2009.02.03 18:09:48 killa8.exe READONLY access to SC_MANAGER OBJECT\ServicesActive (SystemObject)
2009.02.03 18:09:49 killa8.exe DENY C0B4 message to explorer.exe (Process)
2009.02.03 18:09:49 killa8.exe DENY C0B4 message to ctfmon.exe (Process)

最后卡巴还是生龙活虎。。。


第二个，黑炸弹，我特意开着它运行了一晚上，让它充分发挥。。。
最后没发现有漏的。。。清空untrusted文件，系统干净了。。。

附日志文件

Magis

这个used handle to kill avp 的comodo是不能拦截的~[:27:]
我的Geswall卸载后装不上了，不知道是不是手动破解了 geswall pro的缘故，删除了注册表中所有gewall相关的键值，但是打开gewall free(or pro)的msi时，依然无法安装，只有repair or remove的选项....