楼主: 天月来了
收起左侧

[原创文章] 天琊超级进程监视器防护系统教程(39楼后面有相关内容)6.11日更新程序

  [复制链接]
SONGLEI
发表于 2009-5-11 08:38:01 | 显示全部楼层
楼上的第一副图是防的网马吗?我手动运行CMD,允许命令行后就出现楼上第一副图,再允许命令行后才成功运行了CMD.EXE,楼上可否解释一下啊

借这个问题正好想再问下楼主,已经问了若干了,楼主没嫌烦吧!我手动运行CMD点了2次允许命令行才成功调出CMD,出现了如图2个完全匹配的白名单, 未命名.JPG ,日志如下:
2009-05-11 08:30:30 <允许>进程:1600,路径:C:\WINDOWS\Explorer.EXE,启动程序:C:\WINDOWS\system32\cmd.exe,命令行:"C:\WINDOWS\system32\cmd.exe"
2009-05-11 08:30:36 <允许>进程:2568,路径:C:\WINDOWS\system32\cmd.exe,启动程序:C:\WINDOWS\system32\conime.exe,命令行:C:\WINDOWS\system32\conime.exe
这分明是将这两个进程加如了白名单,和信任路径有何区别啊?

还有楼主如何判断楼上3个图片是否是监控到木马的

[ 本帖最后由 SONGLEI 于 2009-5-11 09:14 编辑 ]
天月来了
 楼主| 发表于 2009-5-11 09:24:28 | 显示全部楼层
他那第一幅图是很多情况下cmd启动后都有的。

他没抓第一幅图之前到底什么程序启动cmd程序的。

如果确实网页浏览时跳提示,那么他之前应该有提示父进程浏览器启动cmd程序的。

然后才是接下来的启动病毒文件的提示。

也滑稽,老没什么提示,很难相信能有效果了。心里还是不塌实。

呵呵!!!
SONGLEI
发表于 2009-5-11 09:32:12 | 显示全部楼层
这个监视器的确灵敏,我在楼上打字时突然跳出verclsid.exe要执行,不明白是什么,点退出,网上一查,是点右键出现的进程,但拒绝了这个进程不影响我复制操作.
但是我右键复制如下两条记录时,这个进程又不出来了,难道它是随机出现的?这个监视器不但能监视病毒的启动,对了解WINDOWS的进程也有帮助啊
2009-05-11 09:03:04 <拒绝>进程:1600,路径:C:\WINDOWS\Explorer.EXE,启动程序:C:\WINDOWS\system32\verclsid.exe,命令行:/S /C {E88DCCE0-B7B3-11D1-A9F0-00AA0060FA31} /I {0000013A-0000-0000-C000-000000000046} /X 0x401
2009-05-11 09:03:29 <拒绝>进程:1600,路径:C:\WINDOWS\Explorer.EXE,启动程序:C:\WINDOWS\system32\verclsid.exe,命令行:/S /C {E88DCCE0-B7B3-11D1-A9F0-00AA0060FA31} /I {0000013A-0000-0000-C000-000000000046} /X 0x401
SONGLEI
发表于 2009-5-11 09:39:10 | 显示全部楼层
原帖由 天月来了 于 2009-5-11 09:24 发表
他那第一幅图是很多情况下cmd启动后都有的。

他没抓第一幅图之前到底什么程序启动cmd程序的。

如果确实网页浏览时跳提示,那么他之前应该有提示父进程浏览器启动cmd程序的。

然后才是接下来的启动病毒文件的 ...


明白! 关键看谁要启动CMD
天月来了
 楼主| 发表于 2009-5-11 09:44:47 | 显示全部楼层
你这个的情况,可以添加命令行来解决,以后就不跳这提示了。

如果每次都是完全一样的:
/S /C {E88DCCE0-B7B3-11D1-A9F0-00AA0060FA31} /I {0000013A-0000-0000-C000-000000000046} /X 0x401
那么你就添加这命令行:
/S /C {E88DCCE0-B7B3-11D1-A9F0-00AA0060FA31} /I {0000013A-0000-0000-C000-000000000046} /X 0x401

至于你上面71楼提到的cmd被添加到白名单,那是绝对危险的,不能单纯添加到白名单里的,因为你一加入白名单,任意程序都可以启动cmd了。

你在cmd启动的时候,你正确点击了吗:

未命名.jpg

[ 本帖最后由 天月来了 于 2009-5-11 09:50 编辑 ]
天月来了
 楼主| 发表于 2009-5-11 09:49:03 | 显示全部楼层
可能“允许”和“添加信任”靠的比较近,你点击允许的时候,误点添加信任上去了。否则不会被加入白名单的。
evilrabbit
发表于 2009-5-11 09:51:42 | 显示全部楼层
禁止并删除有时候可能会蓝屏,我碰到过。55555555  蓝的很彻底。
天月来了
 楼主| 发表于 2009-5-11 09:54:54 | 显示全部楼层

回复 77楼 wolfwalk888 的帖子

这东西不可能达到完美兼容性的

不过我相信它的主人是很想要你那蓝屏文件的。
SONGLEI
发表于 2009-5-11 09:56:04 | 显示全部楼层
原帖由 天月来了 于 2009-5-11 09:49 发表
可能“允许”和“添加信任”靠的比较近,你点击允许的时候,误点添加信任上去了。否则不会被加入白名单的。


我是信任的命令行,请看71楼,CMD这条白名单是有双引号的,我注意到信任命令行是有双引号,直接信任是没有引号的.
日志里也表明是命令行。这个命令行是允许EXPLORER运行CMD吧,不知有没有理解错
如果仅允许EXPLORER运行CMD有没什么危险?也就是问病毒要运行CMD是病毒程序直接调用CMD或是IE调用CMD?
还是病毒控制EXPLORER运行CMD啊?
evilrabbit
发表于 2009-5-11 10:03:02 | 显示全部楼层

回复 78楼 天月来了 的帖子

这个现象很怪,你可以去试试,tx的一个进程。svchost调用TXPlatform.exe
阻止并结束蓝的,计算机不要优化什么服务,不然不会出现这个弹窗。
蓝了一次我的机器上没dmp,后来都是若干次 死机。没有dmp文件。
和他聊过了,他也知道这个问题,不过没dmp不好分析。
“等过阵子他忙完hips 再说吧,这个hips设计比想象中的难的多。很复杂。光驱动就得写一个多月。” 上面是他的意思。 呵呵
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 14:30 , Processed in 0.098064 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表