loveperday - 2007-5-26 19:05:00
刚刚学习用影子+TINY测试病毒,发现几个问题,希望大家帮着看看~
测试病毒oso.exe.
病毒进程中很奇怪,见下图。
为什么总要删一下再键一下?难道是为了保险,把原来的删除了建新的?
不会和后面路径的大小写有关系吧。。
晕,图片太长了。。。后面没显示出来的文件是一样的。。
附件:
8750952007526185917.jpg
loveperday - 2007-5-26 19:14:00
还想问下猫叔,下面这个禁止提示是什么意思呢?
附件:
8750952007526190439.jpg
loveperday - 2007-5-26 20:59:00
被砸得没影了。。。顶上去,大家帮着看下。。
baohe - 2007-5-26 21:15:00
| 引用: |
【loveperday的贴子】刚刚学习用影子+TINY测试病毒,发现几个问题,希望大家帮着看看~
测试病毒oso.exe.
病毒进程中很奇怪,见下图。
为什么总要删一下再键一下?难道是为了保险,把原来的删除了建新的?
不会和后面路径的大小写有关系吧。。
晕,图片太长了。。。后面没显示出来的文件是一样的。。
……………… |
hosts文件被病毒反复更改————防止你去掉病毒加的内容。
baohe - 2007-5-26 21:16:00
| 引用: |
【loveperday的贴子】还想问下猫叔,下面这个禁止提示是什么意思呢?
……………… |
是这条设置发挥了作用(图)。禁止病毒以其自身的安全属性运行。
这个病毒并未完整运行。
附件:
1558472007526210554.jpg
loveperday - 2007-5-26 21:34:00
噢~明白了,那看来测试的时候还要把这项放开。
还想问下猫叔,病毒体生成的DLL文件,被TINY监测的时候,也符合这个规则么?
use parent security
附件:
8750952007526212402.jpg
loveperday - 2007-5-26 21:38:00
或者说,追踪病毒体释放的DLL插入了哪个进程,在TINY中,是不是必须追踪所有程序的LOADING DLL 行为呢?
© 2000 - 2026 Rising Corp. Ltd.