杀毒轻巧版，监控一个很奇怪的问题

显示全部楼层 · 发表于 2011-4-3 18:18:35

此帖的样本：http://bbs.kafan.cn/thread-950735-1-1.html
运行后监控发现，结果

这是怎么回事？

显示全部楼层 · 发表于 2011-4-3 18:23:31

句柄没有关闭

显示全部楼层 · 发表于 2011-4-3 18:29:46

唯我独尊发表于 2011-4-3 18:23
句柄没有关闭

神马意思？

BUG吗

显示全部楼层 · 发表于 2011-4-3 18:30:43

回复 3楼 dm34343667 的帖子

你是不是在沙盘里运行了这个程序？

显示全部楼层 · 发表于 2011-4-3 18:32:33

唯我独尊发表于 2011-4-3 18:30
回复 3楼 dm34343667 的帖子

你是不是在沙盘里运行了这个程序？

实机

显示全部楼层 · 发表于 2011-4-3 20:44:46

先关了这个程序再清除，看看顶用不

显示全部楼层 · 发表于 2011-4-3 20:48:55

svchost.exe 在系统进程中是关键进程它是怕怕系统进程给删了吗？

显示全部楼层 · 发表于 2011-4-4 22:10:49

不明真相的路过

显示全部楼层 · 发表于 2011-4-4 22:21:10

监控运行均没报[:26:]

显示全部楼层 · 发表于 2011-4-4 22:27:05

• File Info
Name Value
Size 28672
MD5 068ef51d17ee2b1814e7f64f63dc78e0
SHA1 b59f3f88e18473ac3e05714e3fa704f15b6e1802
SHA256 87de023658a3df118df9ee4a398d9726fbaaafffa633dfafa4209fb583d20751
Process Active
• Keys Created
• Keys Changed
• Keys Deleted
• Values Created
• Values Changed
• Values Deleted
• Directories Created
• Directories Changed
• Directories Deleted
• Files Created
• Files Changed
• Files Deleted
• Directories Hidden
• Files Hidden
• Drivers Loaded
• Drivers Unloaded
• Processes Created
• Processes Terminated
• Threads Created
PId Process Name TId Start Start Mem Win32 Start Win32 Start Mem
0x348 svchost.exe 0x784 0x7c810856 MEM_IMAGE 0x7c910760 MEM_IMAGE
• Modules Loaded
• Windows Api Calls
• DNS Queries
• HTTP Queries
• Verdict
Auto Analysis Verdict
Undetected
• Mutexes Created or Opened
PId Image Name Address Mutex Name
0xd8 C:\TEST\sample.exe 0x4016e0 OnlyRunOnce

[讨论] 杀毒轻巧版，监控一个很奇怪的问题

本帖子中包含更多资源