12   1  /  2  页   跳转

【求助】问几个SSM问题

收藏
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2007-03-03 20:20 | 只看楼主 短消息 资料
字号: 1楼

【求助】问几个SSM问题

1.用SSM杀毒,如果我没理解错的话,是找到病毒进程,移至Block组,再删了病毒文件,可是如果病毒启动了,没来得及编辑规则,就对注册表狂改,狂删文件,怎么办?


2.怎样显示被病毒修改的这册表项?

3.对于带驱动的木马,怎能分清哪个是木马创建的驱动?

附件附件:

下载次数:330
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-3 20:20:37
描述:
预览信息:EXIF信息



最后编辑2007-03-04 22:17:59.950000000
分享到:
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2007-03-03 20:40 | 只看楼主 短消息 资料
字号: 2楼

没人知道么?55555555555555555555~~~
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2007-03-03 21:50 | 只看楼主 短消息 资料
字号: 3楼

gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2007-03-03 22:17 | 只看楼主 短消息 资料
字号: 4楼

1
gototop
 
两个铁球
头像
叱咤花甲狮
  • 帖子:3107
  • 注册: 2006-01-19
  • 来自:新疆叶城
发表于: 2007-03-03 22:21 | 短消息 资料
字号: 5楼

菜鸟我试着解解,对错地区性大哥都别介意。
对于第一项,已经被毒改了注册表,可能只能借别的工具来发现、改回了吧。另外SSM有个日志,不知它会不会做出记载(我的日志一直不能用,为此郁闷.(这说似已涵盖第2条)。第3,好像只能凭经验,在进程里面看线程、看模块、还比较MD5了吧。还有那个内存写入什么的,大概高手、内行有用。
要是SSM能自动把这些异常用反色显示多好!
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2007-03-03 22:30 | 短消息 资料
字号: 6楼

可以查看日志..

无过ssm 拦下的东西 可能没那么多..

应该不全..
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2007-03-04 21:44 | 只看楼主 短消息 资料
字号: 7楼

我试过一个叫“壁纸中心”的恶意软件,可日志里没记录在开始菜单处的注册表修改

附件附件:

下载次数:256
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-4 21:44:30
描述:
预览信息:EXIF信息
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2007-03-04 21:45 | 只看楼主 短消息 资料
字号: 8楼

对了,mopery你们是用Tiny看病毒修改的注册表项吗?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-03-04 22:10 | 短消息 资料
字号: 9楼

引用:
【地区性的贴子】我试过一个叫“壁纸中心”的恶意软件,可日志里没记录在开始菜单处的注册表修改
………………

6楼的问题————SSM注册表监控设置问题。
如果要满足你的要求,请按下图设置:

附件附件:

下载次数:227
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-4 22:10:09
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-03-04 22:16 | 短消息 资料
字号: 10楼

引用:
【地区性的贴子】1.用SSM杀毒,如果我没理解错的话,是找到病毒进程,移至Block组,再删了病毒文件,可是如果病毒启动了,没来得及编辑规则,就对注册表狂改,狂删文件,怎么办?


2.怎样显示被病毒修改的这册表项?

3.对于带驱动的木马,怎能分清哪个是木马创建的驱动?

………………

1、SSM可以提示任何未建立规则而要加载的进程,如果设置正确,SSM也可以终止大多数病毒进程。至于已经被病毒删除的文件,SSM无能为力。
2、见8楼回复。
3、多数情况,SSM会提示.sys加载(注意看对话框内容)。如果你按下图设置了日志记录内容,在日志中应该也能看到相应内容。

附件附件:

下载次数:203
文件类型:image/pjpeg
文件大小:
上传时间:2007-3-4 22:16:59
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT