卡饭论坛 » 病毒救援区 » “自做自受”下载病毒测试失败

风中的三棱镜 发表于 2008-8-19 01:22

“自做自受”下载病毒测试失败

本人今天想测试一下影子系统和APR防火墙到底管不管用，便从病毒样本去下载了一个ARP病毒样本，本人电脑防御装备是KIV7.+影子系统+360ARP墙。
系统是进入单一影子模式，本以为重新启动后会跟平常一样。便打开了病毒样本试试，KIS报病毒，360报病毒，全部忽略继续运行[:05:] ，但仍然不能运行，报程序错误，我想可能跟KIS有关，便大胆地将KIS关闭后[:06:] ，就可以运行了。几秒后，系统托盘一切防御系统消失。时间改为2004年。我立即重启[:14:] 。可是没想到启动后仍然报有新的程序进入启动菜单[:15:] ，阻止运行后，又出现系统托盘所有软件消失，当时我就慌了[:12:] 。难道这破玩意能不把影子放在眼里？？？[:16:] 没办法进入安全模式查杀问题解决了[:06:] 。
想问几个问题，第一：为什么影子系统没办法防止程序进入系统盘？（我在安全模式下看到其他盘符有自动运行程序）是否跟这个有关系，还是说影子系统压根就防止不了？
第二：为什么APR防火墙没有阻止？（在另一台电脑上没有显示被攻击）
第三：这样做对路由有没有影响？？
总之，实验失败了，如果改成完全影子模式会不会没问题？[:13:] 害的我出了一身冷汗。下次不行就用虚拟系统试[:14:]

[[i] 本帖最后由 风中的三棱镜 于 2008-8-19 01:27 编辑 [/i]]

boboly 发表于 2008-8-19 01:29

[:xi14:] 支持楼主的行动~~[:xi16:] 中毒了就不是太好的现象了...

tanlimo 发表于 2008-8-19 02:18

第一：病毒穿影子的事貌似已经不新鲜了，另外想问问楼主用的影子是什么版本？正版的还是破解版的？

第二：APR防火墙只是用来阻止arp数据包的不是用来杀arp病毒的.......

第三：影响就是路由器可能被arp欺骗数据包耍的团团转，除此以外对路由器的硬件无害。

风中的三棱镜 发表于 2008-8-19 08:42

[quote]原帖由 [i]tanlimo[/i] 于 2008-8-19 02:18 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4537461&ptid=309555][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
第一：病毒穿影子的事貌似已经不新鲜了，另外想问问楼主用的影子是什么版本？正版的还是破解版的？

第二：APR防火墙只是用来阻止arp数据包的不是用来杀arp病毒的.......

第三：影响就是路由器可能被arp欺骗数据 ... [/quote]
第一，影子当然事破解版的；第二，ARP数据包为什么没有发送其他电脑上？？难道中了也不一定要发送么？我在另一台电脑上没有发现被攻击的任何症状？主要想看看360ARP墙管用不管用[:14:] 要是路由没影响就行，就怕路由固件被清除就麻烦了[:07:]

tanlimo 发表于 2008-8-19 10:12

第一：破解版的影子不能防新狗一定要正版的影子才行，建议你在影子下再装个360还原保护器，当然最好换其它的影子如SD和RVS

第二：先确定这样本是个arp病毒再说，样本在哪？

第三：没什么了

[:xi39:]

风中的三棱镜 发表于 2008-8-19 11:51

估计是被骗了,可能是木马,不是ARP[:02:]
[url=http://bbs.kafan.cn/thread-294683-1-1.html]http://bbs.kafan.cn/thread-294683-1-1.html[/url] 是样本地址，公用机器下病毒不方便 呵呵~~~大家帮看看是不是ARP还是木马？在公司机器上麦咖啡显示是木马[:08:]

[[i] 本帖最后由 风中的三棱镜 于 2008-8-19 11:58 编辑 [/i]]

飞兔儿 发表于 2008-8-19 12:16

额 我是菜鸟  还不会那么去测试病毒  希望楼主赶紧恢复自己的电脑 [:31:]

dl123100 发表于 2008-8-19 19:19

MSDOS这个伪造数字签名的毒，刚出来时能过一些杀软的主防，lz去实机运行[:15:]

风中的三棱镜 发表于 2008-8-19 21:22

谁知道呢,我还以为是ARP呢,去实机运行了,好在给清除了!!当时吓个半死,以为要去G呢

limian 发表于 2008-8-19 22:40

[:xi14:] LZ真伟大……

fufuji97 发表于 2008-8-19 22:44

正版的影子遇上改时间病毒也没办法[:01:]除非锁时间

fufuji97 发表于 2008-8-19 22:47

建议楼主好好去影子2008官网看看，影子2008个人正式版一、不防时间病毒、二、不防arp，要想都防就买企业版

风中的三棱镜 发表于 2008-8-19 23:35

[quote]原帖由 [i]fufuji97[/i] 于 2008-8-19 22:47 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4547425&ptid=309555][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
建议楼主好好去影子2008官网看看，影子2008个人正式版一、不防时间病毒、二、不防arp，要想都防就买企业版 [/quote]
不防ARP[:23:] 天呀，个人版竟然这么多限制，以后要小心了，不能再做这蠢事了[:30:]

gankeyu 发表于 2008-8-20 10:42

单一影子？不行滴...

4186878 发表于 2008-8-24 12:15

支持楼主的行动~~ 中毒了就不是太好的现象了...

ts2884664 发表于 2008-8-24 16:48

应该说  个人版是免费的 企业版是要钱的  效果当然不一样啊

bobby_0088 发表于 2008-8-25 12:34

全盘镜像才是王道[:01:]

jefffire 发表于 2008-8-25 14:41

还是VMware好些

vebee 发表于 2008-8-26 13:14

[quote]原帖由 [i]tanlimo[/i] 于 2008-8-19 02:18 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4537461&ptid=309555][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
第一：病毒穿影子的事貌似已经不新鲜了，另外想问问楼主用的影子是什么版本？正版的还是破解版的？

第二：APR防火墙只是用来阻止arp数据包的不是用来杀arp病毒的.......

第三：影响就是路由器可能被arp欺骗数据 ... [/quote]


答得好  谢谢 我也学习了

查看完整版本: “自做自受”下载病毒测试失败