易小生 - 2012-7-6 14:52:00
一、外挂现状
作为一个DNF两年的老玩家(PS.有dnf爱好者,可以加入这个群我们一起交流下:144696215 ),外挂已经成为了我每天玩游戏的必须品了,但现在有个问题,各杀软对外挂的误报实在太高了,所以现在外挂站和外挂说明都让我们关闭杀毒软件使用外挂,我们经常看到的就是:“注意:如果下载报毒,纯属杀软误报”
于是慢慢的就养成了这个习惯,使用外挂前先关闭杀软,再运行外挂,这个习惯也导致我机器多次中毒重装系统。这让人很纠结啊,开着杀毒软件嘛,基本上都被误删了,不开嘛,难免又偶尔会出现几个漏网之鱼,导致我机器中毒。
本人从百度搜索比较常见的外挂共37例,其中没毒的36,有毒的只有1个。我们来看看各杀软误报情况吧
外挂行为主要是依赖这些生成的dll文件注入实现操作,我从这37例外挂中抓取了共45例子体文件,再看看这些子体文件的报毒情况:
误报这么严重,难怪我们用外挂都要关杀软或者设信任了。可完全不相信杀毒软件呢,又有可能成为那37分之一的受害者。
各杀软对病毒外挂的漏报情况:
像瑞星这种,什么外挂都不报毒,连真的有毒的外挂也没报,伤不起啊。
二、外挂的行为
这些外的具体行为是怎么样的。我们通过火眼来了解下,就挑几个大家都比较熟悉的几个外挂用火眼来看看行为吧,
DNF天魔:http://fireeye.ijinshan.com/anal ... 59A3BA2AE2A15A598D3
DNF雪儿:http://fireeye.ijinshan.com/anal ... EFAA531940C24F85701
从中可以看出来,这些都是正常外挂行为,无非是查找dnf进程,检测dnf注册表等。当然也不乏有毒的外挂,37个外挂里只找到一款:http://fireeye.ijinshan.com/anal ... 2638ABFAEB61F8E3F15
像这种带毒外挂还删除安全模式,查找安全软件进程的,一看就是带毒外挂。
用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.56 Safari/536.5 QIHU 360EE
作为一个DNF两年的老玩家(PS.有dnf爱好者,可以加入这个群我们一起交流下:144696215 ),外挂已经成为了我每天玩游戏的必须品了,但现在有个问题,各杀软对外挂的误报实在太高了,所以现在外挂站和外挂说明都让我们关闭杀毒软件使用外挂,我们经常看到的就是:“注意:如果下载报毒,纯属杀软误报”
于是慢慢的就养成了这个习惯,使用外挂前先关闭杀软,再运行外挂,这个习惯也导致我机器多次中毒重装系统。这让人很纠结啊,开着杀毒软件嘛,基本上都被误删了,不开嘛,难免又偶尔会出现几个漏网之鱼,导致我机器中毒。
本人从百度搜索比较常见的外挂共37例,其中没毒的36,有毒的只有1个。我们来看看各杀软误报情况吧
外挂行为主要是依赖这些生成的dll文件注入实现操作,我从这37例外挂中抓取了共45例子体文件,再看看这些子体文件的报毒情况:
误报这么严重,难怪我们用外挂都要关杀软或者设信任了。可完全不相信杀毒软件呢,又有可能成为那37分之一的受害者。
各杀软对病毒外挂的漏报情况:
像瑞星这种,什么外挂都不报毒,连真的有毒的外挂也没报,伤不起啊。
二、外挂的行为
这些外的具体行为是怎么样的。我们通过火眼来了解下,就挑几个大家都比较熟悉的几个外挂用火眼来看看行为吧,
DNF天魔:http://fireeye.ijinshan.com/anal ... 59A3BA2AE2A15A598D3
DNF雪儿:http://fireeye.ijinshan.com/anal ... EFAA531940C24F85701
从中可以看出来,这些都是正常外挂行为,无非是查找dnf进程,检测dnf注册表等。当然也不乏有毒的外挂,37个外挂里只找到一款:http://fireeye.ijinshan.com/anal ... 2638ABFAEB61F8E3F15
像这种带毒外挂还删除安全模式,查找安全软件进程的,一看就是带毒外挂。
用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.56 Safari/536.5 QIHU 360EE