查看: 3969|回复: 22
收起左侧

[病毒样本] 发个锁系统的批处理

[复制链接]
怡I宝
头像被屏蔽
发表于 2010-9-11 21:07:31 | 显示全部楼层 |阅读模式
这个批处理并不新鲜了,我就只是想问问,为什么这个锁定系统文件的批处理基本所有杀毒软件都对它没反映呢?主动防御也不行。。。。至少也得有个提示吧。。。不然重启后就启动不进系统了。。。
dljsxyls
发表于 2010-9-11 21:14:06 | 显示全部楼层
hddu
发表于 2010-9-11 21:15:24 | 显示全部楼层
2010-09-11 21:13:43    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\conime.exe
触发规则:所有程序规则->系统程序设置->*\conime.exe


2010-09-11 21:13:43    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" echo y"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe

成功阻止。
LisaLan
发表于 2010-9-11 21:18:55 | 显示全部楼层
回复 2楼 dljsxyls  的帖子

你这个是什么杀毒软件
   
post8
头像被屏蔽
发表于 2010-9-12 03:24:25 | 显示全部楼层
to eset  via email
Lgwu
头像被屏蔽
发表于 2010-9-12 05:05:31 | 显示全部楼层
直接cacls 命令去除6个文件的所有权限。行为并未有恶意特征,杀软和主防怎么会报呢。
幸福的猪猪
发表于 2010-9-12 06:39:05 | 显示全部楼层
本帖最后由 幸福的猪猪 于 2010.9.12 15:10 编辑

不敢实机测试,就用卡巴斯基的安全桌面测试。

卡巴斯基的主防有提示:(就是得手动点击数次“立即阻止”)




p.s.刚才又测试了一下,有一条命令运行之后出现错误。
  1. echo y|cacls c:\windows\system32\userinit.exe /c /p everyone:n

  2. 某条命令修改一下,运行之后。卡巴斯基的主防有提示。
复制代码
shell.sys,我的电脑上没有找到此文件。(只有shell.dll)

expensive6688
发表于 2010-9-12 07:28:17 | 显示全部楼层
本帖最后由 expensive6688 于 2010.9.12 07:41 编辑

通常来说这种瑞星不会特征码的
刚刚测了2011的主防 外表效果不错(就是重启之后停在了“欢迎使用”之前 ,一会又要上报了

怡I宝
头像被屏蔽
 楼主| 发表于 2010-9-12 10:00:28 | 显示全部楼层
哈哈。。楼上的,重启后停留在欢迎使用之前,那就表明你已经中招啦。。。不过你用瑞星阻止后都中招了???    2楼的,是用的哪款HIPS哦?
あ掵㊣峫淰℡
发表于 2010-9-12 10:03:23 | 显示全部楼层
回复 9楼 怡I宝  的帖子


    是白瑞金盾   国产启发   非hips
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-9 21:29 , Processed in 0.132065 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表