天琊超级进程监视器防护系统教程（39楼后面有相关内容）6.11日更新程序

SONGLEI

楼上的第一副图是防的网马吗？我手动运行CMD，允许命令行后就出现楼上第一副图，再允许命令行后才成功运行了CMD.EXE,楼上可否解释一下啊

借这个问题正好想再问下楼主,已经问了若干了,楼主没嫌烦吧!我手动运行CMD点了2次允许命令行才成功调出CMD,出现了如图2个完全匹配的白名单, ,日志如下:
2009-05-11 08:30:30 <允许>进程：1600,路径：C:\WINDOWS\Explorer.EXE,启动程序：C:\WINDOWS\system32\cmd.exe,命令行："C:\WINDOWS\system32\cmd.exe"
2009-05-11 08:30:36 <允许>进程：2568,路径：C:\WINDOWS\system32\cmd.exe,启动程序：C:\WINDOWS\system32\conime.exe,命令行：C:\WINDOWS\system32\conime.exe
这分明是将这两个进程加如了白名单,和信任路径有何区别啊?

还有楼主如何判断楼上3个图片是否是监控到木马的

[ 本帖最后由 SONGLEI 于 2009-5-11 09:14 编辑 ]

天月来了

他那第一幅图是很多情况下cmd启动后都有的。

他没抓第一幅图之前到底什么程序启动cmd程序的。

如果确实网页浏览时跳提示，那么他之前应该有提示父进程浏览器启动cmd程序的。

然后才是接下来的启动病毒文件的提示。

也滑稽，老没什么提示，很难相信能有效果了。心里还是不塌实。

呵呵！！！

SONGLEI

这个监视器的确灵敏,我在楼上打字时突然跳出verclsid.exe要执行,不明白是什么,点退出,网上一查,是点右键出现的进程,但拒绝了这个进程不影响我复制操作.
但是我右键复制如下两条记录时,这个进程又不出来了,难道它是随机出现的?这个监视器不但能监视病毒的启动,对了解WINDOWS的进程也有帮助啊
2009-05-11 09:03:04 <拒绝>进程：1600,路径：C:\WINDOWS\Explorer.EXE,启动程序：C:\WINDOWS\system32\verclsid.exe,命令行：/S /C {E88DCCE0-B7B3-11D1-A9F0-00AA0060FA31} /I {0000013A-0000-0000-C000-000000000046} /X 0x401
2009-05-11 09:03:29 <拒绝>进程：1600,路径：C:\WINDOWS\Explorer.EXE,启动程序：C:\WINDOWS\system32\verclsid.exe,命令行：/S /C {E88DCCE0-B7B3-11D1-A9F0-00AA0060FA31} /I {0000013A-0000-0000-C000-000000000046} /X 0x401

SONGLEI

原帖由 天月来了 于 2009-5-11 09:24 发表
他那第一幅图是很多情况下cmd启动后都有的。

他没抓第一幅图之前到底什么程序启动cmd程序的。

如果确实网页浏览时跳提示，那么他之前应该有提示父进程浏览器启动cmd程序的。

然后才是接下来的启动病毒文件的 ...

明白! 关键看谁要启动CMD

天月来了

你这个的情况，可以添加命令行来解决，以后就不跳这提示了。

如果每次都是完全一样的：
/S /C {E88DCCE0-B7B3-11D1-A9F0-00AA0060FA31} /I {0000013A-0000-0000-C000-000000000046} /X 0x401
那么你就添加这命令行：
/S /C {E88DCCE0-B7B3-11D1-A9F0-00AA0060FA31} /I {0000013A-0000-0000-C000-000000000046} /X 0x401

至于你上面71楼提到的cmd被添加到白名单，那是绝对危险的，不能单纯添加到白名单里的，因为你一加入白名单，任意程序都可以启动cmd了。

你在cmd启动的时候，你正确点击了吗：



[ 本帖最后由 天月来了 于 2009-5-11 09:50 编辑 ]

天月来了

可能“允许”和“添加信任”靠的比较近，你点击允许的时候，误点添加信任上去了。否则不会被加入白名单的。

evilrabbit

禁止并删除有时候可能会蓝屏，我碰到过。55555555  蓝的很彻底。

天月来了

这东西不可能达到完美兼容性的

不过我相信它的主人是很想要你那蓝屏文件的。

SONGLEI

原帖由 天月来了 于 2009-5-11 09:49 发表
可能“允许”和“添加信任”靠的比较近，你点击允许的时候，误点添加信任上去了。否则不会被加入白名单的。

我是信任的命令行,请看71楼,CMD这条白名单是有双引号的,我注意到信任命令行是有双引号,直接信任是没有引号的.
日志里也表明是命令行。这个命令行是允许EXPLORER运行CMD吧，不知有没有理解错
如果仅允许EXPLORER运行CMD有没什么危险？也就是问病毒要运行CMD是病毒程序直接调用CMD或是IE调用CMD？
还是病毒控制EXPLORER运行CMD啊？

evilrabbit

这个现象很怪，你可以去试试，tx的一个进程。svchost调用TXPlatform.exe
阻止并结束蓝的，计算机不要优化什么服务，不然不会出现这个弹窗。
蓝了一次我的机器上没dmp，后来都是若干次 死机。没有dmp文件。
和他聊过了，他也知道这个问题，不过没dmp不好分析。
“等过阵子他忙完hips 再说吧，这个hips设计比想象中的难的多。很复杂。光驱动就得写一个多月。” 上面是他的意思。 呵呵