用HIPS的或者EQ的来

显示全部楼层 · 发表于 2007-5-10 17:22:59

好，试一下，稍后放上日志

显示全部楼层 · 发表于 2007-5-10 17:24:03

金剑安全中心_风暴胜者_测试版本_系统日志
风暴胜者防御系统 Http://www.V0day.com

2005年5月10日17时22分36秒:进程启动:D:\yiwang\FV2\繁體版本\jk.exe
2005年5月10日17时22分38秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时22分38秒:进程启动:\SystemRoot\System32\smss.exe
2005年5月10日17时22分39秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时22分40秒:进程启动:\??\C:\windows\system32\csrss.exe
2005年5月10日17时22分41秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时22分41秒:进程启动:\??\C:\windows\system32\winlogon.exe
2005年5月10日17时22分43秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时22分43秒:进程启动:C:\windows\system32\services.exe
2005年5月10日17时22分44秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时22分45秒:进程启动:C:\windows\system32\lsass.exe
2005年5月10日17时22分46秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时22分46秒:进程启动:C:\windows\system32\svchost.exe
2005年5月10日17时22分48秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时22分48秒:进程启动:C:\windows\system32\spoolsv.exe
2005年5月10日17时22分50秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时22分50秒:进程启动:C:\WINDOWS\system32\shadow\ShadowService.exe
2005年5月10日17时22分52秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时22分52秒:进程启动:C:\windows\system32\ctfmon.exe
2005年5月10日17时22分54秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时22分54秒:进程启动:C:\windows\System32\alg.exe
2005年5月10日17时22分56秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时22分56秒:进程启动:C:\Program Files\EnjoyIE\enjoyie.exe
2005年5月10日17时22分58秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时22分58秒:进程启动:C:\windows\system32\wuauclt.exe
2005年5月10日17时23分:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时23分:进程启动:C:\windows\explorer.exe
2005年5月10日17时23分2秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时23分2秒:进程启动:C:\windows\system32\dwwin.exe
2005年5月10日17时23分4秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时23分4秒:进程启动:G:\TM2007\TM\TMDlls\TIMPlatform.exe
2005年5月10日17时23分6秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时23分7秒:进程启动:C:\WINDOWS\system32\shadow\ShadowTip.exe
2005年5月10日17时23分8秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE
2005年5月10日17时23分9秒:进程启动:C:\windows\system32\taskmgr.exe
2005年5月10日17时23分10秒:可疑文件创建:C:\windows\system32\ED6A0474.EXE

2005年5月10日17时23分11秒:进程启动:C:\WINDOWS\system32\mspaint.exe

显示全部楼层 · 发表于 2007-5-10 17:31:24

微点杀

显示全部楼层 · 发表于 2007-5-10 17:34:14

原帖由 bridgewr 于 2007-5-10 17:31 发表
微点杀

你没长眼睛吗，那么大的红字你都看不见
你的眼睛在哪，睁大你的眼睛好好看看。

显示全部楼层 · 发表于 2007-5-10 17:37:10

eq的监控日志：（有些地方规则名记录有误）
2007-05-10 17:28:30 读取文件
操作:允许
进程路径:E:\bingdu\flash\flash.exe
文件路径:C:\windows\system32\IMM32.DLL
规则:应用程序规则->追踪程序->F:\ssm\ssm-2.4.0.617-beta.exe->*
2007-05-10 17:28:30 读取文件
操作:允许
进程路径:E:\bingdu\flash\flash.exe
文件路径:C:\windows\system32\IMM32.DLL
规则:应用程序规则->追踪程序->F:\ssm\ssm-2.4.0.617-beta.exe->*
2007-05-10 17:28:30 读取文件
操作:允许
进程路径:E:\bingdu\flash\flash.exe
文件路径:C:\windows\system32\IMM32.DLL
规则:应用程序规则->追踪程序->F:\ssm\ssm-2.4.0.617-beta.exe->*
2007-05-10 17:28:30 加载库文件
操作:允许
进程路径:E:\bingdu\flash\flash.exe
文件路径:C:\windows\system32\IMM32.DLL
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2007-05-10 17:28:30 读取文件
操作:允许
进程路径:E:\bingdu\flash\flash.exe
文件路径:C:\windows\system32\LPK.DLL
规则:应用程序规则->追踪程序->F:\ssm\ssm-2.4.0.617-beta.exe->*
2007-05-10 17:28:30 加载库文件
操作:允许
进程路径:E:\bingdu\flash\flash.exe
文件路径:C:\windows\system32\LPK.DLL
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2007-05-10 17:28:30 读取文件
操作:允许
进程路径:E:\bingdu\flash\flash.exe
文件路径:C:\windows\system32\USP10.dll
规则:应用程序规则->追踪程序->F:\ssm\ssm-2.4.0.617-beta.exe->*
2007-05-10 17:28:30 加载库文件
操作:允许
进程路径:E:\bingdu\flash\flash.exe
文件路径:C:\windows\system32\USP10.dll
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:29:00 读取文件
操作:允许
进程路径:E:\bingdu\flash\flash.exe
文件路径:E:\bingdu\flash\flash.exe
规则:应用程序规则->追踪程序->F:\ssm\ssm-2.4.0.617-beta.exe->*
2005-05-10 17:29:14 创建文件
操作:允许
进程路径:E:\bingdu\flash\flash.exe
文件路径:C:\windows\system32\5876AE30.EXE
规则:应用程序规则->追踪程序->F:\ssm\ssm-2.4.0.617-beta.exe->*
2005-05-10 17:29:25 修改注册表内容
操作:允许
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seedď꩕
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:17 安装服务或者驱动
操作:阻止
进程路径:C:\windows\system32\services.exe
文件路径:C:\windows\system32\5876AE30.EXE -d
规则:应用程序规则->系统程序->%windir%\system32\services.exe
2005-05-10 17:30:32 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CB8ECC58
注册表名称:Description
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:35 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:37 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:38 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:39 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:40 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:41 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:42 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:43 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:44 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:45 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:46 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:47 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:47 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:48 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:49 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:50 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:50 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:51 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:52 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:52 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:53 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:53 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:54 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:55 修改注册表内容
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CB8ECC58
注册表名称:[Key]
规则:应用程序规则->hips->E:\bingdu\flash\flash.exe->*
2005-05-10 17:30:55 创建文件
操作:阻止
进程路径:E:\bingdu\flash\flash.exe
文件路径:C:\windows\system32\delmep.bat
规则:应用程序规则->追踪程序->F:\ssm\ssm-2.4.0.617-beta.exe->*
2005-05-10 17:30:55 读取文件
操作:允许
进程路径:E:\bingdu\flash\flash.exe
文件路径:C:\windows\system32\delmep.bat
规则:应用程序规则->追踪程序->F:\ssm\ssm-2.4.0.617-beta.exe->*

显示全部楼层 · 发表于 2007-5-10 17:38:08

原帖由 aoyang 于 2007-5-10 17:34 发表

你没长眼睛吗，那么大的红字你都看不见
你的眼睛在哪，睁大你的眼睛好好看看。

微点也算沾上了HIPS的边吧

显示全部楼层 · 发表于 2007-5-10 17:40:44

原帖由 sxingbai 于 2007-5-10 17:37 发表
eq的监控日志：（有些地方规则名记录有误）
2007-05-10 17:28:30 读取文件
操作:允许
进程路径:E:\bingdu\flash\flash.exe
文件路径:C:\windows\system32\IMM32.DLL
规则:应用程序规则->追踪程序->F:\s ...

你不是默认的规则吧，我默认的没反应。

显示全部楼层 · 发表于 2007-5-10 17:50:47

EQ刚刚安装的时候是没有规则的。。在EQ的论坛有规则可以下载。。但是我没有用他们提供的。多多少少他们做的东西是为大众服务的那些可能有些针对性不强。

显示全部楼层 · 发表于 2007-5-10 17:59:53

默认EQ无规则

我怎么看见有规则

显示全部楼层 · 发表于 2007-5-10 18:01:57

如果是eq自带的规则那当然远远不够
要自己添加

补充：刚才重启机器，时间还是被修改为2005年
看来修改时间有仅能突破hips
也能突破影子沙盘

用HIPS的或者EQ的来

本帖子中包含更多资源

评分