一直搞不清什么是主动模式

jiao轩

网络知识学不好…………能教教我什么是主动模式吗？谢谢了

strawman0719

同样不清楚。。。

fengliuyedao

据说是翻译问题！！！

jack1986001

回复 1楼 jiao轩 的帖子

就当作检查更严格来理解吧

jiao轩

回复 4楼 jack1986001 的帖子

很模糊也…………

jack1986001

回复 5楼 jiao轩 的帖子

我把兼容性放在首位，一般我不用它，具体说不清

FOXHOUND_KAKA

回复 1楼 jiao轩 的帖子

关于所有杀软主动的研究
转载请注明 原创作者 WAEN   甲壳虫id WAEN
其实说到主动，也是有所谓的“特征码”的，它本身就是一个智能的hips，而hips也是有一套规则的（这个规则就是所谓的“特征”），但规则也是有限的，它不可能监控系统所有的目录和动作（如果监控所有保证烦死所有地球人）。（用过hips的就知道，都是有一套默认规则的，当然自己也可以添加）。
既然hips和主动都有一套规则，那我们避开他本身默认的规则，就可以做到过主动和hips，程序是死的，人是活的。
其实木马都有一个典型的行为，释放自身到特定目录（window，system32 hips和主动监控都比较严格），写入注册表做到重启上线（服务，注册表，ActiveX等都是要写入注册表的），远线程注入其他进程，删除自身（可选）。
当你的木马的行为刚好被主动或者hips的规则收录的时候，这时候主动或者hips就会智能拦截你的木马，因此这就是过不了主动的原因。
而我们要做到过主动，就是要避开主动和hips的规则，例如释放到其它目录（或者你新建一个目录再释放木马），不写注册表（用其它lorder写入注册表，或者直接导入注册表），不选删除自身，做到以上三项其实就可以过大多数杀软的主动了。
只要破坏其中一项或者几项典型的木马行为，木马动作就和主动或hips的收录的规则不同了，这时候一般都可以过主动和hips了。
有源码当然比较好改木马行为，但当我们没有源码的时候又改怎么修改我们的木马呢？其实所有语言最后都是要翻译成机器码的，这时候我们就可以利用汇编修改（前提是马儿没有壳）。
因为这些木马动作（释放、写注册表）都是要靠调用系统函数实现的，例如CreateFileA，CreateServiceA,当我们载入od之后，我们就可以搜索以上函数，回车跟进看看（要去代码段，因为这些函数都是在代码段被调用的），代码段调用这些函数一般都是call xxxxxx（函数名）。当我们把这些调用的代码填充之后，木马的那些释放或者写注册表功能就消失了。我们可以用其他方式重新恢复这些功能（如 vbs 和 bat混合实现复制木马写入注册表功能）。当然有技术的话也可以不填充，直接修改那些调用的函数（neroxps做过相关的教程，貌似是修改 pcshare的释放路径）。
没做相关的教程，只提供思路，伸手党就不必看了，只有会思考的人才会进步的，还是提倡各位努力学好源码免杀，毕竟源码可以打造独一无二的马，效果比较。
以上仅代表本人的观点，由于技术水平有限，难免有错误的地方，还望各位大牛多多指教。          (转 甲壳虫技术论坛)

jayavira

我来解释开启主动模式和没有开启主动模式的差别吧
开启主动模式后，在浏览毒网的时候，会在网页中显示一个已拦截的网页，如下面的图片一样


而没有开启主动模式，只会在右下角弹出一个已拦截的窗口，毒网还可以继续浏览哦
这就是开启主动模式和没有开启主动模式的差别了

123wucong

LS正解

jiao轩

回复 8楼 jayavira 的帖子

只是表现得不一样？那效果上有没有不同？哪个更安全？