切断360云链接过主防，7.7.1005B已可防御

显示全部楼层 · 发表于 2011-3-6 09:42:53

aazz00 发表于 2011-3-6 09:41
回复 19楼 jefffire 的帖子

这句话说的很对哦，不过DLL白名单就太庞大了吧，我现在一直用网购模式使用弹出 ...

相信360的云收集够全

显示全部楼层 · 发表于 2011-3-6 09:43:29

回复 52楼 xiayang1221 的帖子

如果愿意分享的话私信我吧谢谢 (^_^)

显示全部楼层 · 发表于 2011-3-6 09:44:32

回复 59楼 w867057887 的帖子

见58楼，穿虚拟机又是另外一回事，技术要求很高！

显示全部楼层 · 发表于 2011-3-6 09:46:02

回复 63楼 xiayang1221 的帖子

嗯，目前有穿虚拟机的病毒吗？？

显示全部楼层 · 发表于 2011-3-6 09:46:21

回复 62楼 eraylee 的帖子

额，我看到你是360员工，我相信以你的实力写出一个antiVm不是难事~~自己调试吧

显示全部楼层 · 发表于 2011-3-6 09:46:40

xiayang1221 发表于 2011-3-6 09:41
回复 55楼 jefffire 的帖子

启发分为静态启发和动态启发，而动态启发就是利用虚拟机模拟运行你的程序来检测 ...

anti-emulator还是比较容易的。像卡巴我知道老版本并不是通过explorer进程启动病毒，可以通过对比病毒自身进程的父进程和explorer进程的PID来判断。后来版本的卡巴即使将病毒父进程模拟为explorer，但是还是可以通过检测explorer本身进程和explorer父进程的ID，反之则为反病毒软件自己模拟了explorer检查病毒。

显示全部楼层 · 发表于 2011-3-6 09:47:13

xiayang1221 发表于 2011-3-6 09:42
回复 56楼 jefffire 的帖子

长期开启网购模式也不见得有效，至少对我的方法是无效滴~

网购模式的精华在于白名单配合禁运，你的代码没机会执行，除非能找到0Day。

显示全部楼层 · 发表于 2011-3-6 09:48:29

回复 64楼 w867057887 的帖子

有哦，数量少而已，你想想有多少人用虚拟机呢？经济利益推动产业发展，无利不起早相信你懂这个道理嘛

显示全部楼层 · 发表于 2011-3-6 09:49:43

本帖最后由 w867057887 于 2011-3-6 09:50 编辑

回复 68楼 xiayang1221 的帖子
哪个病毒？举个例子？

显示全部楼层 · 发表于 2011-3-6 09:52:12

回复 66楼 jefffire 的帖子

哈哈~你说的这种代码我就写过嘛，我记得我的代码在百度搜一下很多转载的，这只是一个思路而已，很弱智的思路。。。
给个看雪大牛antiVm文章的链接：http://bbs.pediy.com/showthread.php?t=119969

[讨论] 切断360云链接过主防，7.7.1005B已可防御