掌握证据，揪出元凶——跟我学习CIMA，让更多人了解病毒的行为（下）

显示全部楼层 · 发表于 2011-5-6 23:11:24

辛苦叻~~~

显示全部楼层 · 发表于 2011-5-7 01:43:31

本帖最后由抱金砖于 2011-5-7 01:57 编辑

Hacker29cn 发表于 2011-5-6 21:33
回复 122楼抱金砖的帖子

又是抱金砖啊，哈哈。问得好。创建进程和插入进程是两码事。创建是又多了，插 ...

不过乃的比喻偶很喜欢哦~~非常容易让人理解呢
今天刚在样本区看到一个过掉cima的样本诶..

显示全部楼层 · 发表于 2011-5-7 07:39:51

来学习了！一定要仔仔细细的看

显示全部楼层 · 发表于 2011-5-7 07:49:58

支持一下.............

显示全部楼层 · 发表于 2011-5-7 22:28:02

再次谢谢。收藏学习。

显示全部楼层 · 发表于 2011-5-8 08:33:03

回复 132楼抱金砖的帖子

这不奇怪，过CIMA的病毒有很多，只要病毒不是直接运行的。比如需要进一步操作，需要点击，双击或者输入密码等等，那么由于cima的自动性，是不会点击和输入的，那么病毒并不会被运行，所以被过也很正常，所以本地的沙盘和虚拟机也是很重要的，因为病毒测试者可以参与其中，更加方便的迷惑病毒，但是服务器只是按照既定的程序办事，有时很死板。

显示全部楼层 · 发表于 2011-5-8 09:09:24

回复 130楼抱金砖的帖子

是创建，不是插入。因为本身系统根本没有这些进程啊

显示全部楼层 · 发表于 2011-5-8 09:10:31

回复 129楼抱金砖的帖子

谢谢！回来学习测试一下哈~

显示全部楼层 · 发表于 2011-5-8 17:21:21

Hacker29cn 发表于 2011-5-8 09:09
回复 130楼抱金砖的帖子

是创建，不是插入。因为本身系统根本没有这些进程啊

原来如此

显示全部楼层 · 发表于 2011-5-9 09:01:02

回复 139楼抱金砖的帖子

O(∩_∩)O哈哈~，乃明白了就好。乃的签名很牛！

[技术原创] 掌握证据，揪出元凶——跟我学习CIMA，让更多人了解病毒的行为（下）