syfwxmh 来又一强毒过卡巴4D防御

显示全部楼层 · 发表于 2009-4-12 11:16:29

原帖由 lunglungyu 于 2009-4-12 11:11 发表

这么大动作竟然过卡巴了？！
小心为上

因为用的shellcode,都是动态得的，输入表里没任何东西的，检测不到，也情有可原吧，呵呵

显示全部楼层 · 发表于 2009-4-12 11:18:41

原帖由 WillBeNextKido 于 2009-4-12 11:14 发表
因为也有很多软件也有类似的手段。。

所以说啊。。编程的规范。。。

杀软也很难做

确实是这样。
让一个专业杀软公司的病毒分析工程师来手动分析都有可能误报漏报，更何况是软件呢？
有时候也要宽容，做这行不容易的。。。

[ 本帖最后由 ximo 于 2009-4-12 11:20 编辑 ]

显示全部楼层 · 发表于 2009-4-12 11:18:48

原帖由 WillBeNextKido 于 2009-4-12 11:14 发表
因为也有很多软件也有类似的手段。。

所以说啊。。编程的规范。。。

杀软也很难做

CreateRemoteThread主要是这个，
竟然让创建远程线程也不提示，实在是可怖

溜达了下竟然看见了ZZ，注册比偶早一年

[ 本帖最后由 lunglungyu 于 2009-4-12 11:23 编辑 ]

显示全部楼层 · 发表于 2009-4-12 11:58:58

人家乃是高级潜水员

显示全部楼层 · 发表于 2009-4-12 12:37:06

楼主我们商量下把权限搞低点吧

显示全部楼层 · 发表于 2009-4-12 12:39:23

cici584522

你很不地道

显示全部楼层 · 发表于 2009-4-12 12:54:25

原帖由 tanlimo 于 2009-4-12 11:00 发表
SB在默认情况下应该是阻止沙盘里的程序操作其它进程内存的，所以在运行这个样本后没有任何反应，但是在安装ssm后由于ssm接管了很多函数的控制权其中也包括SB接管的，再次运行这个样本后只要在SSM的询问框中允许样本控 ...

难怪以前eq+sbie的时候一些sbie原本会阻挡的东西在eq允许后就绕过了..
还有 sbie能不能防黑炸弹那种底层读取磁盘的东西？

显示全部楼层 · 发表于 2009-4-12 12:59:28

怎么了？

显示全部楼层 · 发表于 2009-4-12 13:22:23

那么你TO RAV吧我权限不够

显示全部楼层 · 发表于 2009-4-12 15:15:55

..so tidy

[病毒样本] syfwxmh 来又一强毒过卡巴4D防御