谁来分析下之二
用md测试结果见附件日志其中c:\windows\system32\drivers\ws2ifsl.sys通过微软数字校验
另一个需要注意的是
2008-7-31 11:17:33 c:\documents and settings\administrator\桌面\080729-1-7.exe 创建文件 \Device\NamedPipe\Winsock2\CatalogChangeListener-4c8-0 允许
[[i] 本帖最后由 sxingbai 于 2008-7-31 11:43 编辑 [/i]] ws2ifsl.sys是系统原有的,当然有签名
删system32\netstat.exe的时候,md的提示怎么是修改?
\Device\NamedPipe
md的拦截?
[[i] 本帖最后由 hwwgo 于 2008-7-31 19:59 编辑 [/i]]
回复 2楼 hwwgo 的帖子
还得逆向工程大侠出手,呵呵“ws2ifsl.sys是系统原有的,当然有签名”
我是想问这个系统文件并没修改,病毒加载了起什么用?
“删system32\netstat.exe的时候,md的提示怎么是修改?”
应该是用病毒生成的netstat.exe1替换netstat.exe吧,我没查看文件
“\Device\NamedPipe
md的拦截?”
是的 我的环境 拦不到\Device\NamedPipe,晕
回复 4楼 hwwgo 的帖子
也许要自己添加吧? EQ不能拦截\Device\NamedPipe的操作吧。 md是什么[:11:] [quote]原帖由 [i]eubyo[/i] 于 2008-8-1 10:50 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4305409&ptid=295955][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]md是什么[:11:] [/quote]
可能是微点吧。 mp
回复 8楼 yjwfdc 的帖子
[:15:] md 是微点....太忽悠了吧...去hips区....MD 是什么就知道了 md是 Malware Defender它可以像comodo一样编辑devices规则 namepipe 用md被改了 rc3
樓上的石頭別再放p了 除非你用*那我沒話說 否則根本就找不到編輯的地方
編了個 *namepipe*也沒用 hwwgo說這麼編的
[attach]323493[/attach]
回复 12楼 kuririn 的帖子
你个猪头rc3是否改我不知道,今天早上才下的
但昨晚我已经验证了rc2 暈 我就是試過rc2沒用 才又試rc3的[:21:] 驗證個p 你根本就沒用[color=red]別的[/color]軟件還有樣本試過[:21:] k你个小毛孩,说话注意一点儿
我刚才试了一下rc3,确实不行了
我昨天在qq上就说了
估计这个功能不是作者有意实现的
我推想是作者看了此帖去掉的
不知作者作何想
其实大家很关注这个命名管道的拦截
k你信不信与我无关
我也懒得再装上rc2抓图给你看 暈 你說它可以像comodo一样编辑devices规则
我只想知道你怎麼編
我用rc2也一樣沒用啊
我照你的編法再試試rc2不就好了
回复 17楼 kuririn 的帖子
建立文件规则\Device\NamedPipe\* [url]http://www.torchsoft.com/download/md_setup_chs_1.0_rc2.exe[/url] rc3应该还可以拦namedpipe吧,我没特意改掉这个功能,刚测试了下还可以啊
页:
[1]
2