【360杀毒卡饭公测】——名字没想好，帮忙取个名把-二楼更新360云测试

3x3eyes

俺该说的都说了，7.1没用过
另外这是特征码？怎么报的？
taoyuan237 发表于 2010-4-14 19:03

    不是特征码，是主动防御拦截恶意行为到后云服务器发现是木马，就报木马了。

taoyuan237

回复 20# 白羊座


    搞不懂，你啥版本捏？7.1？

3x3eyes

回复  白羊座


    老实说，7.0不拦我很诧异
俺想贴金没处贴啊囧
俺想知道，那个驱动 ...
taoyuan237 发表于 2010-4-14 19:07

驱动放过应该是你被断网了，或者当时测试的网络环境不好，总之我测试了7.1beta可以拦截，这就OK了，因为7.1beta中的主动防御实际已经覆盖了一半以上的360用户了。

taoyuan237

回复 23# 3x3eyes


    断网没有，可能网络不太好把

3x3eyes

回复  3x3eyes


    断网没有，可能网络不太好把
taoyuan237 发表于 2010-4-14 19:16

呵呵，总之7.0的HIPS版本很老，比较弱

7.1就比较好了。7.2内部版现在拦截效果基本已经达到或超越微点的水平了。

白羊座

回复 22# taoyuan237


刚才是内测版，这个是昨天的流量监控督导版，主动防御模块和7.0应该是一样的

taoyuan237

回复 25# 3x3eyes


    亮点啊

白羊座

回复 25# 3x3eyes


    7.2？？？？？！！！！！

taoyuan237

回复 26# 白羊座


    俺不太清楚，只不过我没看到有关appmgmts.dll的动作
我这里动的是QMGR昨天俺不小心双击了这玩意也是替换的QMGR

白羊座

回复 29# taoyuan237


    2010-4-14 18:29:36    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; appmgmts.dll
2010-4-14 18:29:36    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; qmgr.dll
2010-4-14 18:29:36    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\mspmsnsv.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; mspmsnsv.dll
2010-4-14 18:29:36    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; xmlprov.dll
2010-4-14 18:29:36    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\ntmssvc.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; ntmssvc.dll
2010-4-14 18:29:36    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; upnphost.dll
2010-4-14 18:29:36    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\browser.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; browser.dll
2010-4-14 18:29:37    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\regsvc.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; regsvc.dll
2010-4-14 18:29:37    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; appmgmts.dll
2010-4-14 18:29:37    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; qmgr.dll
2010-4-14 18:29:37    停止驱动程序或服务    阻止
进程: e:\m.exe
目标: Fast User Switching Compatibility
文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\mspmsnsv.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; mspmsnsv.dll
2010-4-14 18:29:37    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; xmlprov.dll
2010-4-14 18:29:37    停止驱动程序或服务    阻止
进程: e:\m.exe
目标: COM+ Event System
文件路径: C:\WINDOWS\system32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\ntmssvc.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; ntmssvc.dll
2010-4-14 18:29:37    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; upnphost.dll
2010-4-14 18:29:37    停止驱动程序或服务    阻止
进程: e:\m.exe
目标: SSDP Discovery Service
文件路径: C:\WINDOWS\system32\svchost.exe -k LocalService
规则: [应用程序]*
2010-4-14 18:29:37    停止驱动程序或服务    阻止
进程: e:\m.exe
目标: Network Connections
文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    停止驱动程序或服务    阻止
进程: e:\m.exe
目标: Network Location Awareness (NLA)
文件路径: C:\WINDOWS\system32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    停止驱动程序或服务    阻止
进程: e:\m.exe
目标: Telephony
文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\browser.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; browser.dll
2010-4-14 18:29:37    停止驱动程序或服务    阻止
进程: e:\m.exe
目标: Themes
文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    停止驱动程序或服务    阻止
进程: e:\m.exe
目标: Cryptographic Services
文件路径: C:\WINDOWS\system32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    停止驱动程序或服务    阻止
进程: e:\m.exe
目标: Help and Support
文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    修改文件    阻止
进程: e:\m.exe
目标: C:\WINDOWS\system32\regsvc.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; regsvc.dll
2010-4-14 18:29:37    停止驱动程序或服务    阻止
进程: e:\m.exe
目标: Task Scheduler
文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: 6to4
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: AppMgmt
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: AudioSrv
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Browser
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: CryptSvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: DMServer
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: DHCP
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: ERSvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: EventSystem
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: FastUserSwitchingCompatibility
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: HidServ
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Ias
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Iprip
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Irmon
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: LanmanServer
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: LanmanWorkstation
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Messenger
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Netman
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Nla
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Ntmssvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: NWCWorkstation
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Nwsapagent
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Rasauto
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Rasman
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Remoteaccess
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Schedule
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Seclogon
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: SENS
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Sharedaccess
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: SRService
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Tapisrv
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Themes
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: TrkWks
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: W32Time
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: WZCSVC
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: Wmi
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: WmdmPmSp
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: winmgmt
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: wscsvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: xmlprov
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: napagent
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: hkmsvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: BITS
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: wuauserv
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: ShellHWDetection
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: helpsvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:37    安装驱动程序或服务    阻止
进程: e:\m.exe
目标: WmdmPmSN
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*
2010-4-14 18:29:42    创建文件    允许
进程: e:\m.exe
目标: C:\Documents and Settings\zhaoyunhao\Local Settings\Temp\Random.bat
规则: [文件组]文件安全读写规则(询问创建) -> [文件]*temp\*; *.bat
2010-4-14 18:30:47    创建新进程    允许
进程: e:\m.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c C:\DOCUME~1\ZHAOYU~1\LOCALS~1\Temp\Random.bat
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\cmd.exe
2010-4-14 18:30:50    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: E:\m.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe


MD这样的，7.0的日志稍后