发个锁系统的批处理

显示全部楼层 · 发表于 2010-9-11 21:07:31

这个批处理并不新鲜了，我就只是想问问，为什么这个锁定系统文件的批处理基本所有杀毒软件都对它没反映呢？主动防御也不行。。。。至少也得有个提示吧。。。不然重启后就启动不进系统了。。。

显示全部楼层 · 发表于 2010-9-11 21:14:06

显示全部楼层 · 发表于 2010-9-11 21:15:24

2010-09-11 21:13:43 运行应用程序操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\conime.exe
触发规则:所有程序规则->系统程序设置->*\conime.exe

2010-09-11 21:13:43 运行应用程序操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" echo y"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe

成功阻止。

显示全部楼层 · 发表于 2010-9-11 21:18:55

回复 2楼 dljsxyls 的帖子

你这个是什么杀毒软件

显示全部楼层 · 发表于 2010-9-12 03:24:25

to eset via email

显示全部楼层 · 发表于 2010-9-12 05:05:31

直接cacls 命令去除6个文件的所有权限。行为并未有恶意特征，杀软和主防怎么会报呢。

显示全部楼层 · 发表于 2010-9-12 06:39:05

本帖最后由幸福的猪猪于 2010.9.12 15:10 编辑

不敢实机测试，就用卡巴斯基的安全桌面测试。

卡巴斯基的主防有提示：（就是得手动点击数次“立即阻止”）

p.s.刚才又测试了一下，有一条命令运行之后出现错误。

echo y|cacls c:\windows\system32\userinit.exe /c /p everyone:n
某条命令修改一下，运行之后。卡巴斯基的主防有提示。

复制代码

shell.sys，我的电脑上没有找到此文件。（只有shell.dll）

显示全部楼层 · 发表于 2010-9-12 07:28:17

本帖最后由 expensive6688 于 2010.9.12 07:41 编辑

通常来说这种瑞星不会特征码的

刚刚测了2011的主防

外表效果不错（就是重启之后停在了“欢迎使用”之前

，一会又要上报了

）

显示全部楼层 · 发表于 2010-9-12 10:00:28

哈哈。。楼上的，重启后停留在欢迎使用之前，那就表明你已经中招啦。。。不过你用瑞星阻止后都中招了？？？ 2楼的，是用的哪款HIPS哦？

显示全部楼层 · 发表于 2010-9-12 10:03:23

回复 9楼 怡I宝 的帖子

是白瑞金盾国产启发非hips

[病毒样本] 发个锁系统的批处理