卡饭论坛's Archiver



lanvin 发表于 2008-8-16 20:50

建议MD作者加入网络嗅探器模块

对于分析样本来说,嗅探器可以知道downloader下载了什么
对于一般用户来说 可以监控一些pe文件的下载,昨天尝试了下za的force field,一些可疑文件的下载zaff会提示。
一个砖头

astre 发表于 2008-8-16 20:55

感觉还是纯HIPS好

zixing23 发表于 2008-8-16 21:35

不过可以考虑一下CA TINY的,里面有一个流量显示的,这个是比较方便的,呵呵

vtchen 发表于 2008-8-16 22:04

这个想法很好
支持

sandworm 发表于 2008-8-17 00:23

我先记在小本本上啊,不过暂时还没这个精力[:15:]

lanvin 发表于 2008-8-17 01:54

我就喜欢MD有进程管理器的功能,比较适合大批量样本的连续作业。
干净的系统上面,基本上的进程都是符合签名认证的,只要把未验证的全部terminate就可以继续下一个样本的测试,这个不错[:01:]

kuririn 发表于 2008-8-17 09:16

暈 連nd都沒 還sniffer咧[:xi16:]

ktango 发表于 2008-8-17 09:38

[quote]原帖由 [i]kuririn[/i] 于 2008-8-17 09:16 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4515697&ptid=307977][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
暈 連nd都沒 還sniffer咧[:xi16:] [/quote]

同意,有ND後才考虑sniffer吧。

baerzake 发表于 2008-8-17 11:09

我觉得初步可以先增加外联监控,然后增加防外,之后才能考虑其他

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.