老版~
刚刚又一次操作,还是那个版本的猫,
但这次试的时候做了些改变,感觉有些想法~
比如,我禁止cmd.exe的运行,
对SSM中ini设为禁止更改(但不知有没有用~)
运行后,他试图创建服务,被禁止~
然后,我在电脑中搜索desktop_.ini,(它已经创建了1400多个)
但对可执行文件还没有太多改动(如果改过,在修改日期上可以看出被改为今天的日期~)
查看文件是否改动,最好用icesword,不要按路径从硬盘打开~
我用SSM禁止它的那几个文件运行~删光了所有的desktop_.ini
删了被感染的文件~
另,我发现,它要感染新的可执行文件时好像要运行cmd.exe和conime.exe
在我运行一个没有被感染的文件时,刚开始还可以正常执行,但紧接着,cmd运行,下面再运行,就被PG拦截了~(句柄无效~)
另,当它要结束运行的程序时,好像也要用到cmd.exe来执行~
唉~工具不全,无法观察到太多~
还有,现在的熊猫不知是怎么动作的~~
呵呵,版主,你这个帖子里的熊猫能发一个给我~~~?先谢~
xue_mai_qi@163.com
