超牛的TDSS，打印注入的漏洞已经修复，完美拦截

显示全部楼层 · 发表于 2010-10-6 14:06:32

回复 30楼 leisong 的帖子

你给的样本压根没注入打印机的动作啊，当然不会凭空拦截啊，只有一个注入华生医生的行为

你看我图，我图那4个dll是VM的文件啊，正常文件。

显示全部楼层 · 发表于 2010-10-6 14:06:46

回复 30楼 leisong 的帖子

云响应了 qvm19

显示全部楼层 · 发表于 2010-10-6 14:12:55

回复 31楼 jinzijie 的帖子

20F图是什么？而且确实是在该文件夹下生成随机命名的DLL
且我运行样本后才有的那个DLL，哪来的？

显示全部楼层 · 发表于 2010-10-6 14:14:46

回复 33楼 leisong 的帖子

这回我RP好了，那块地方就是没衍生物生成怎么办呢

显示全部楼层 · 发表于 2010-10-6 14:22:17

回复 34楼 jinzijie 的帖子

你确定该文件夹下没有新DLL？
还有你用的哪个ARK工具？这个居然只有XUETR可以检测出来，WSYSCHECK POWERTOOL2.3 360的DLL检测全部歇菜

http://bbs.kafan.cn/thread-807404-1-1.html

或许是我另一个RP问题

显示全部楼层 · 发表于 2010-10-6 14:27:32

回复 35楼 leisong 的帖子
再测了一遍，动作还是一样，就拦截了一个华生医生注入，日志也是
不过这次有dll生成了，但是从xt 0.37版上看，还是没注入打印机

显示全部楼层 · 发表于 2010-10-6 14:56:42

回复

我覆盖安装升级到7.5.0.1002M最新测试版，没有这个弹框，成功注入了，测了2遍都注入了
leisong 发表于 2010.10.6 13:05

昨天问了下，这个更新没有放BETA中，在按比例升级，可能没升级到吧，节后开始调高比例。

显示全部楼层 · 发表于 2010-10-6 15:02:02

回复 37楼 360sandbox 的帖子

明白了，感谢解释。
还有个问题不解，如果被打印注入，是否存在这些ARK工具包括360检测不出的BUG

http://bbs.kafan.cn/thread-807404-1-1.html

显示全部楼层 · 发表于 2010-10-6 15:11:27

回复

明白了，感谢解释。
还有个问题不解，如果被打印注入，是否存在这些ARK工具包括360检测不出的BUG ...
leisong 发表于 2010.10.6 15:02

这个没有看过，不过系统本身、SYSCHECK是很容易被绕过的，DLL加载后做一个脱链的操作就可以让这些无法识别出来，你可以配合ICESWORD看看是否和XUETR的结果相同，如果相同就说明确实是如此。

显示全部楼层 · 发表于 2010-10-6 17:14:26

回复

明白了，感谢解释。
还有个问题不解，如果被打印注入，是否存在这些ARK工具包括360检测不出的BUG ...
leisong 发表于 2010.10.6 15:02

今天会发个BETA，把打印机这个规则放到里面

[讨论] 超牛的TDSS，打印注入的漏洞已经修复，完美拦截

评分