切断360云链接过主防，7.7.1005B已可防御

显示全部楼层 · 发表于 2011-3-6 06:28:21

回复 48楼 w867057887 的帖子

一般来说是检测运行环境是否是虚拟机，如果是虚拟机你可以选择不按正常顺序执行代码

显示全部楼层 · 发表于 2011-3-6 06:28:48

回复 49楼 eraylee 的帖子

注入还是有办法的呵呵

显示全部楼层 · 发表于 2011-3-6 08:49:52

eraylee 发表于 2011-3-5 23:45
回复 19楼 jefffire 的帖子

注入的话主防应该已经拦截的比较完全了...

网镖是作为最后防线的，肯定要做最坏打算。

显示全部楼层 · 发表于 2011-3-6 09:11:42

回复 53楼 jefffire 的帖子

姐夫这么早啊

显示全部楼层 · 发表于 2011-3-6 09:32:47

xiayang1221 发表于 2011-3-6 06:28
回复 48楼 w867057887 的帖子

一般来说是检测运行环境是否是虚拟机，如果是虚拟机你可以选择不按正常顺序执 ...

现在检测虚拟机的越来越多了，呵呵

显示全部楼层 · 发表于 2011-3-6 09:33:31

xiayang1221 发表于 2011-3-6 06:28
回复 49楼 eraylee 的帖子

注入还是有办法的呵呵

哈哈~~所以网购模式长期开启才是王道啊

显示全部楼层 · 发表于 2011-3-6 09:41:16

回复 19楼 jefffire 的帖子

这句话说的很对哦，不过DLL白名单就太庞大了吧，我现在一直用网购模式使用弹出的提示不是非常多，但是检查DLL的话我想会不时的往出蹦弹窗的

显示全部楼层 · 发表于 2011-3-6 09:41:50

回复 55楼 jefffire 的帖子

启发分为静态启发和动态启发，而动态启发就是利用虚拟机模拟运行你的程序来检测行为，据我所知，卡巴2010的虚拟机就是如此，如果我们在发现运行环境为虚拟机之后可以用ExitProcess来退出运行，当然我们也可以写一个函数让程序跳到另外的地方运行，当然正因为虚拟机与真实机器有许多的不同，所以检测虚拟机的方法不胜枚举，不过要写一个完美的antiVM并不容易，因为要考虑到兼容性的因素。

显示全部楼层 · 发表于 2011-3-6 09:42:03

本帖最后由 w867057887 于 2011-3-6 09:42 编辑

回复 51楼 xiayang1221 的帖子

我还以为是穿了虚拟机呢！

如果是虚拟机你可以选择不按正常顺序执行代码

这是什么意思啊？

显示全部楼层 · 发表于 2011-3-6 09:42:39

回复 56楼 jefffire 的帖子

长期开启网购模式也不见得有效，至少对我的方法是无效滴~

[讨论] 切断360云链接过主防，7.7.1005B已可防御