这个真的很难懂.......毛豆的大小潜艇们请进.......

xwhmm

一个程序,用学习模式不能运行,日志里面也没有.但是其他日志的配置改动里面有值的变化,后来在检测shellcode注入中排除了一下,再用学习模式运行了一下,可以运行了.我将前后能运行和不能运行的值的变化记录下来了,一一对照,发现所有的值都相同,只有以下两处不同(uid不算,因为我发现这个每次都会不一样.)可是就是看不懂.


不可以运行时的值:
<Rule Flags="2" DefaultAction="4">
<Allowed>
<File UID="{CF0C0816-E6F3-4219-BB77-666FFC900C94}" Flags="0" Filename="C:\WINDOWS\system32\vsjitdebugger.exe" DeviceName="C:\WINDOWS\system32\vsjitdebugger.exe"/>

可以运行时的值:
<Rules>
<Rule Flags="8" DefaultAction="4">
<Allowed>
<File UID="{4CFF294A-F325-44DE-A2BF-810E5BE5FF67}" Flags="0" Filename="HKLM\SYSTEM\ControlSet???\Control\*" DeviceName="HKLM\SYSTEM\ControlSet???\Control\*"/>

不知道为什么会有如此变化?这个shellcode检测到底是个什么意思?还有shellcode检测什么排除了之后我的程序就可以运行了,不排除就不可以运行,那毛豆肯定做了什么,为什么日志里面没有拦截记载?其实有值的变化也就是上面的值的变化,可是上面的这个值的变化要怎么看?太多问题,毛豆的潜艇们帮我看看,感激涕零.............



附上我的程序:(附件870kb上传不了,用115)
http://u.115.com/file/f5d7a38195

accordion

回复 1楼 xwhmm 的帖子

说实话...我没看懂你贴的是什么


开学习模式是看不到日志的，疯狂模式就可以看到

shellcode...我记得以前找个区有讲，你自己可以查下（好像就是一段代码，和漏洞有关的）

zxzy

xwhmm 发表于 2011-1-29 21:44
一个程序,用学习模式不能运行,日志里面也没有.但是其他日志的配置改动里面有值的变化,后来在检测shellcode注 ...

看懂了一点。。
<Rule Flags="2" DefaultAction="4">这个要多对照对照才能知道是哪一项。。手头没有v5没法看。。第二个应该是注册表的。。允许HKLM\SYSTEM\ControlSet???\Control\*