瑞星所特有的内存查杀的可行性技术分析（图文并茂，详细讲解，欢迎测试）

jpzy

汗~~~这个报法~~~~

坐在墙头

psapi - psapi.dll - DLL文件信息
　　DLL 文件： psapi 或者 psapi.dll
　　DLL 名称： Process Status Helper
　　描述：
　　psapi.dll是Windows系统进程状态支持模块。
　　属于： Process Status Helper
　　系统 DLL文件： Yes
　　常见错误： File Not Found, Missing File, Exception Errors
　　安全等级 (0-5): 0
　　间谍软件： No
　　广告软件： No



其实，基本上可以毫无疑问的说，瑞星的内存和文件特征码是不相同的两套。基本不用怀疑了

jpzy

下次最好是用HIPS的日志来做说明！

坐在墙头

我觉得这个报法很正常的么，病毒利用这个DLL插入EXPLORER.EXE，报这个DLL很正常么

realsingmsn

prawnliu

你的NOD……
保护是红色的……
LZ解释一下……

jpzy

原帖由 坐在墙头 于 2009-4-5 22:22 发表
我觉得这个报法很正常的么，病毒利用这个DLL插入EXPLORER.EXE，报这个DLL很正常么

应该不是利用这个dll来插explorer。你没有看懂LZ的测试！

这个dll是iexplorer自己加载的。而LZ的样本应该是有启动和修改iexplorer内存空间的行为，修改iexplorer内存实际上就是直接在内存插入iexplorer。可能碰巧它修改的内存空间是这个dll所在的地址，因此导致了瑞星的报警！因为瑞星拦截不到原始样本，所以内存监控直接报了这个dll所在的内存为危险。并且清除了威胁。

这个可以看出，瑞星的确存在内存查杀。（仍然有待验证，需要有HIPS工具来证明木马有修改iexplorer的动作）

jpzy

既然是讨论瑞星的问题。并且也说了，过了特征码，然后运行才能看出是否有内存监控。
那么用红伞的报警框能说明什么问题呢？说明红伞的启发很厉害？

落泪小小

内存杀毒我还真的是第一次听说，要不然还不知道呢，谢谢楼主了，辛苦分享了。

cpdcrusaderin

对小星星有了新的认识。。