NOD32免杀

aoyang

原帖由 solcroft 于 2007-4-21 22:55 发表

如果是我来挂网，我会在网页上附上jscript代码，或是个简单的批处理，命令浏览器执行cmd.exe，然后用cmd.exe把gif文件当作是可执行程序来执行
要是杀软坚持不杀.gif文件，我当然最开心了

那如果是这样就是属于病毒可以自动设置对的方法来运行了。
同一个样本，123.exe报警，而改123.gif就不报警，当然是属于次等品。

solcroft

原帖由 aoyang 于 2007-4-22 00:28 发表
不要告诉我用对的手法来运行

这只是你自己不肯接受事实的心态在作祟，我不告诉你这个要告诉你什么？
再指点你一下，不管是什么病毒都不会自己启动的，不是要靠用户自己运行，便要靠系统漏洞来运行
同样的，gif，tmp甚至txt网马也可以用同样的系统漏洞来运行cmd.exe后调用自己，一样的道理，杀软坚持不杀gif，tmp，txt等的话...

jlennon

小伙子，SSM用的很愉快啊，据说下个版本要有FD了，很期待，估计又会是我常用的软件了。

xpn282

原帖由 jlennon 于 2007-4-22 00:35 发表
小伙子，SSM用的很愉快啊，据说下个版本要有FD了，很期待，估计又会是我常用的软件了。

我没用过SSM...因为它没有FD..只要有FD的HIPS我都想尝试...

而且SSM还是HIPS的领头羊..很期待它加入FD

solcroft

原帖由 xpn282 于 2007-4-22 02:13 发表

我没用过SSM...因为它没有FD..只要有FD的HIPS我都想尝试...

而且SSM还是HIPS的领头羊..很期待它加入FD

试试看，你便会发现EQ的AD和SSM比起来还是有一段距离
其实回头想想，单靠强悍的AD来补过缺少FD的这个弱点，这种做法未必没有它自己的优势

xpn282

没FD的话..系统就不干净了

jlennon

嗯，AD够强悍可以弥补FD的不足，SSM是我第一个接触的HIPS，也是蛮有感情的，他下个加FD的版本发布，我一定第一时间试用。

solcroft

原帖由 xpn282 于 2007-4-22 02:36 发表
没FD的话..系统就不干净了

自己根据AD提示和文件创建日期动手删除的话，还是有办法的
FD的弱点是设置得太严密了的话，反而是用系统不方便，尤其是在安装软件的时候
更何况EQ的FD规则目前看来好像只看文件后缀名，不看mimetype... 这个也是个大头痛

xpn282

是的..不知EQ会不会改进..

你用过PS没??

jlennon

PS有个安装模式，安装软件时畅通无阻挡，安装完毕切换正常模式就会提示有那些操作，那些临时文件，你可以选择删除，还有为安装程序建立的临时规则也会提示你是否要删除，这点挺方便的。

对了，你试试PS，虽然很土，给点意见，给我一些你的使用心得

[ 本帖最后由 jlennon 于 2007-4-22 01:20 编辑 ]