楼主: dabaocai
收起左侧

[砖头] 在虚拟机试了这个病毒,破了所谓的最新的木马墙

  [复制链接]
DoctorL
头像被屏蔽
发表于 2010-5-23 08:51:41 | 显示全部楼层
5月22号的样本楼主23号去测试不晚?
另外说明
运行后样本是消失了,但机器无异常
360如果入库大可以直接 ...
taoyuan237 发表于 2010-5-23 08:41



    5.22样本LZ5.23号测试也被过了,能说明什么你仔细想想~!
    然而你更晚,就有入库的嫌疑了!另外入库未必是入特征库,可以入行为库!
    当然我也只是说了2点可能性,未偏袒任何一方!
taoyuan237
发表于 2010-5-23 09:18:46 | 显示全部楼层
回复 11# DoctorL


    不能说明什么
有嫌疑我承认
咱还是把行为记录贴出来
2010-5-23 09:16:10    创建新进程    允许
进程: c:\documents and settings\taoyuan237\桌面\logo.exe
目标: c:\documents and settings\taoyuan237\application data\ipolon\zeseq.exe
命令行: "C:\Documents and Settings\taoyuan237\Application Data\Ipolon\zeseq.exe"
规则: [应用程序]*

2010-5-23 09:16:11    修改其他进程的内存    允许
进程: c:\documents and settings\taoyuan237\application data\ipolon\zeseq.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2010-5-23 09:16:11    向其他进程复制句柄    允许
进程: c:\documents and settings\taoyuan237\application data\ipolon\zeseq.exe
目标: c:\windows\explorer.exe
句柄: (Mutant) \BaseNamedObjects\{92F1D1FD-378E-4C8B-2023-1D6D3757D42B}
规则: [应用程序]*

2010-5-23 09:16:11    在其他进程中创建线程    允许
进程: c:\documents and settings\taoyuan237\application data\ipolon\zeseq.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

360报警的那一步是程序已经进了explorer.exe后
explorer.exe本身没有问题,360怎么去入库
DoctorL
头像被屏蔽
发表于 2010-5-23 09:21:35 | 显示全部楼层
回复  DoctorL


    不能说明什么
有嫌疑我承认
咱还是把行为记录贴出来
2010-5-23 09:16:10    创 ...
taoyuan237 发表于 2010-5-23 09:18


其实,没必要这样!我要怎么猜测都可以!比如以前不拦EXP+启动项!现在拦!无根据的猜测怎么都行!

时间上,LZ先不拦,你后拦!就很有嫌疑!说什么也没意思了!360做了什么只有他自己知道!
250662772
发表于 2010-5-23 20:46:20 | 显示全部楼层
回复  DoctorL


    不能说明什么
有嫌疑我承认
咱还是把行为记录贴出来
2010-5-23 09:16:10    创 ...
taoyuan237 发表于 2010-5-23 09:18

神猪真是无聊啊,参与这样的口水,医生说的对,两者皆有嫌疑,谁是谁非就不要再争论了,卡饭快变成口水论坛了,就不要往里面凑热闹了
成都焓公子
发表于 2010-5-23 21:32:37 | 显示全部楼层
木马防火墙?
百分之百拦截?
我很是犹豫!
yjwfdc
头像被屏蔽
发表于 2010-5-23 21:40:10 | 显示全部楼层
回复  DoctorL


    不能说明什么
有嫌疑我承认
咱还是把行为记录贴出来
2010-5-23 09:16:10    创 ...
taoyuan237 发表于 2010-5-23 09:18

神猪的测试说明了360防不了病毒注入explorer.exe,神猪发的图是说明explorer.exe加启动项,我想,大部分人都会允许exporer.exe这个行为吧。
就算选了阻止,后台应该已经有病毒在监视住你的电脑了,只是不能每次开机都监视。
testhawk
发表于 2010-5-23 21:40:49 | 显示全部楼层
5.22样本LZ5.23号测试也被过了,能说明什么你仔细想想~!
    然而你更晚,就有入库的嫌疑了!另 ...
DoctorL 发表于 2010-5-23 08:51



    如果有行为库的话就不会出现21号断360网的样本现在依旧能断网这种情况了
白羊座
发表于 2010-5-23 21:46:18 | 显示全部楼层
我想,大部分人都会允许exporer.exe这个行为吧
yjwfdc 发表于 2010-5-23 21:40


我对你的所谓EQ规则表示质疑,explorer会用注册表方式添加启动项?
yjwfdc
头像被屏蔽
发表于 2010-5-23 21:50:58 | 显示全部楼层
我对你的所谓EQ规则表示质疑,explorer会用注册表方式添加启动项?
白羊座 发表于 2010-5-23 21:46

关我eq规则什么事?
有多少人知道explorer不会用注册表方式加启动项?
特别是用你们大众软件的用户。
yjwfdc
头像被屏蔽
发表于 2010-5-23 21:52:21 | 显示全部楼层
如果你这大众软件真的好,明知explorer不会用注册表方式加启动项,还出来问什么,直接阻止就是了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 13:46 , Processed in 0.100388 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表