理解IEFO劫持,请猫叔来看看!~

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛理解IEFO劫持,请猫叔来看看!~

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

3 / 4 页

跳转页

健康舞勺狮

发表于： 2007-06-08 21:15 | 短消息资料

字号：小中大 21楼

引用:

【天月来了的贴子】
是啊

瑞星必须加那功能了。

不然非得折腾死。最好能固死那键才好。
………………

我用卡巴,虽然有注册表监控,但是要自己去另外添加规则才能监视IEFO
可见杀软对这类的行为不大重视.瑞星的注册表监控对冰刃的运行居然没反应,要知道冰刃这类的要获得系统权限的软件改写注册表,监控不到是不是不够完善.看来瑞星要加强注册表监测功能了

小职员online 拙长孩提狮帖子:87 注册: 2006-12-12 来自:	发表于： 2007-06-08 21:37 \| 短消息资料字号：小中大 22楼呵呵，原来这里的朋友也喜欢利用IEFO把。exe指向没用的程序。很多病毒也用这个办法劫持掉杀毒软件。只是如果把。exe改称。scr程序照样运行。不知各位有没有办法呢？
小职员online 拙长孩提狮帖子:87 注册: 2006-12-12 来自:

版主

发表于： 2007-06-08 21:39 | 短消息资料

字号：小中大 23楼

引用:

【小职员online的贴子】呵呵，原来这里的朋友也喜欢利用IEFO把。exe指向没用的程序。很多病毒也用这个办法劫持掉杀毒软件。
只是如果把。exe改称。scr程序照样运行。不知各位有没有办法呢？
………………

你错了

我们关心的是怎么阻止病毒对这位置的添加劫持项。

小职员online 拙长孩提狮帖子:87 注册: 2006-12-12 来自:	发表于： 2007-06-08 21:44 \| 短消息资料字号：小中大 24楼我觉得没必要啦。写进去又如何？借鉴下avp.exe和avp.com，瑞星备用个。scr就好了
小职员online 拙长孩提狮帖子:87 注册: 2006-12-12 来自:

loveperday 初生襁褓狮帖子:824 注册: 2007-05-11 来自:	发表于： 2007-06-08 21:48 \| 短消息资料字号：小中大 25楼偶只关心猫叔的那个注册表编辑器是啥？看上去比普通这个好多了。。。
loveperday 初生襁褓狮帖子:824 注册: 2007-05-11 来自:

琼台听雨自信弱冠狮帖子:464 注册: 2007-02-07 来自:	发表于： 2007-06-09 00:44 \| 短消息资料字号：小中大 26楼指向未知方向的，刚刚才被搞过，MSCONFIG 被劫持…… 唉，这些对于我们新手是越来越难防了
琼台听雨自信弱冠狮帖子:464 注册: 2007-02-07 来自:

清风风情初生襁褓狮帖子:481 注册: 2007-04-29 来自:	发表于： 2007-06-09 01:13 \| 短消息资料字号：小中大 27楼限制法。。它要修改Image File Execution Options，所先要有权限，才可读，于是。。一条思路就成了。。开始-运行-regedt32 （这个是系统的32位注册表，和注册表操作方法差不多）然后还是展开到： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 记得把有管理权限用户都要进行设置！然后选上“权限”勾选“拒绝”按确定后会有个提示，然后点确定就可以拉！嗯了，
清风风情初生襁褓狮帖子:481 注册: 2007-04-29 来自:

清风风情初生襁褓狮帖子:481 注册: 2007-04-29 来自:	发表于： 2007-06-09 01:18 \| 短消息资料字号：小中大 28楼限制法。。它要修改Image File Execution Options，所先要有权限，才可读，于是。。一条思路就成了。。开始-运行-regedt32 （这个是系统的32位注册表，和注册表操作方法差不多）然后还是展开到： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 记得把有管理权限用户都要进行设置！然后选上“权限”勾选“拒绝”按确定后会有个提示，然后点确定就可以拉！嗯了，
清风风情初生襁褓狮帖子:481 注册: 2007-04-29 来自:

逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:	发表于： 2007-06-09 18:00 \| 只看楼主短消息资料字号：小中大 29楼呵呵,这个权限不是问题,病毒完全可以突破那问题,关键是那病毒现在使用的比较智能,它会先删除掉 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 再重新创建那项目,然后添加自己要劫持的程序名字,这点好象有点和批处理一样,用批处理也完全可以做到!~汗...那如何才能禁止那病毒劫持呢?我认为把要运行的程序随便修改下名字,那限制等于无效的,呵呵,昨天处理了个关于那劫持的随机8位字母数字.EXE 那病毒很好处理来着,一会放上处理结果,步骤...
逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-06-09 18:03 \| 短消息资料字号：小中大 30楼你开新贴，我等看。这里不能再接了，再接会丢贴的。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

3 / 4 页

跳转页