是进程监控的错？还是我的错？

yuebianyun

随便找个了一个drweb能查出来的木马
一个----手动扫描能扫出来，移动、复制、重命名、删除，包括执行...等操作，drweb都能扫出来----的木马。

然后，故意关闭监控
运行此木马
看了一下任务管理器，木马已经在运行了
接着打开drweb的监控，居然！居然......drweb啥反应都没有

而且，我的“禁用高级保护模式”没选，“扫描运行的进程和模块”选择了的
所有的行为都选择为report

可drweb为啥没反应呢？？

难道drweb的机理就是提前报警功能强？
对内存监控的能力弱嘛？
郁闷....

哪位给我个合理的解释？


PS :
再补充一点
在scanner里面
选择“test memory”，也查不到
选择“test startup”，确可以查查到

[ 本帖最后由 yuebianyun 于 2007-4-26 04:17 编辑 ]

子色

你的错。。

阿京

那位来解释下?我也想知道.

yuebianyun

请解释一下我错在哪里，还有什么设置需要打开或者修改的
谢谢！

子色

木马中上了请全盘扫描。还有。在监控的设置里把actions里的malwwale的最后3个都选成report

yuebianyun

原帖由 子色 于 2007-4-26 11:40 发表
木马中上了请全盘扫描。还有。在监控的设置里把actions里的malwwale的最后3个都选成report

这位兄弟似乎没仔细看我帖子
就给了一个千篇一律的回答
我这个帖子的目的，是为了验证一下drweb的 “scan running program and modules”的功能是否真的有效....

结果让我失望

zhaonimm

主要的意思是不是对已经在运行的木马  病毒没有报警呢？
是不是内存方面的监控有问题？

yuebianyun

原帖由 zhaonimm 于 2007-4-26 13:43 发表
主要的意思是不是对已经在运行的木马  病毒没有报警呢？
是不是内存方面的监控有问题？

对头
综述一下
就是这位兄弟的梗概

drweb
对文件的监控确实很强
文件一到本地，就很快做出反应
可如果病毒、木马在内存内运行了
drweb就似乎丧失能力了

举个例子来说
很多依靠网络传播的蠕虫病毒，是没有文件载体的
依靠一些网络漏洞来传播
遭受攻击后，完全是在内存里面修改程序或文件
那drweb不是无能无力了？

亦或drweb针对这些蠕虫病毒，采用另外一种不同的处理方式呢？
因为drweb的病毒库也有大量的worm病毒特征定义

因为偶系统已经打全了所有的漏洞补丁了
所以暂时没有办法试验drweb对蠕虫的反应了

或许哪位大大给个解释
谢谢