楼主: 4534543
收起左侧

[讨论] 数字卫士的驱动防火墙怎么什么都拦?

  [复制链接]
jtgtifh
发表于 2010-6-8 20:33:37 | 显示全部楼层
数字也疯狂。。。。。。
jshbkf
发表于 2010-6-8 21:15:31 | 显示全部楼层
这个
我默默的路过
Jctrl
发表于 2010-6-8 21:21:26 | 显示全部楼层
好多高手。很好奇是什么原因。等着看看讨论的结果。
yybird81
发表于 2010-6-8 21:24:00 | 显示全部楼层
来看热闹。
youndsheng
发表于 2010-6-8 21:45:44 | 显示全部楼层
这只能说明360还不够成熟!过个一两年再看吧

02223289680
发表于 2010-6-8 22:01:49 | 显示全部楼层
我这连单文件QQ都报
白羊座
发表于 2010-6-8 22:59:19 | 显示全部楼层
我解释一下吧,rgrk指的是人工入库,事实上xuetr的驱动改名后并不是完全不变的,而是会变体多次,文件的hash是会改变的,至于一些人说发现MD5没变化,那是因为报毒的同时360已经阻止了驱动加载,此时xuetr会立即删除原来的驱动并生成一个新的,而这个新驱动很大可能与首次加载的那个不在库驱动hash相同,所以造成了非黑名单驱动被报木马的情况。

希望截取到那个被报毒的驱动的,只需用手动hips跟一下xuetr.exe删除驱动的动作并阻止删除,同时结束xuetr进程,就能保留那个入库的驱动(设置隐藏属性也可以阻止,这样更加直观)

至于为什么不把首次释放的驱动入库,首次释放直接报木马的话,这个工具就不能用了,但是考虑到这个驱动的危险性,如果用户不能辨明弹窗中加载驱动和阻止驱动的含义,很明显这样的用户使用这种工具是非常危险的,所以直接阻止了对变形的驱动的加载,以后进程联动防护完成之后,就能直接结束父进程xuetr.exe,而不会连续弹窗

评分

参与人数 1人气 +1 收起 理由
dl123100 + 1 明天再来看

查看全部评分

mayize
发表于 2010-6-8 23:01:14 | 显示全部楼层
数子,随便报报好让用户安心
ymfss1978
发表于 2010-6-9 00:17:27 | 显示全部楼层
打得热火朝天
360主动防御
发表于 2010-6-9 00:33:11 | 显示全部楼层
本帖最后由 eraylee 于 2010-6-9 01:53 编辑

白羊同学的解释很专业了...
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 15:22 , Processed in 0.104406 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表