EQ如何防止下面这个机器狗的穿透。8月22号的
我测试了一个晚上.EQ 版本3.41。。。。请各位帮忙。...好象不是通过安装驱动来穿透的。还原软件为网维大师6120 晕,在win2008下打开出现错误,本想用MD试试 DW日志:bak.exe企图从驱动器 \Device\Harddisk0\DR0 直接读取
进程 "C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\system32\knx32.exe" 企图获得权限访问安全文件 "C:\WINDOWS\system32\ntoskrnl.exe"。
[[i] 本帖最后由 dl123100 于 2008-8-31 09:53 编辑 [/i]] sandboxie下运行截图
[[i] 本帖最后由 dl123100 于 2008-8-31 09:58 编辑 [/i]] 是不是把 HBKernel.sys给禁止生成就OK?
禁止修改C\WINDOWS\system32\knx32.exe
C:\WINDOWS\system32\ntoskrnl.exe
这些文件呢? 顺带求个EQ的3.4和3.5版。、据说3.41有磁盘底层操作漏洞。此版本我的测试:bak在我禁止了底层磁盘读写。加载驱动,安装驱动。系统内核的情况下任然穿了还原。希望大家指正下,目前4.0主要BUG比较多,作为网吧而言很不合适。希望有3.4或者3.5版本的发我MAIL。。[email]mr31920@163.com[/email] EQ3.41运行后直接提示创建文件。没有提示说直接对磁盘读取。难道3.41没有这方面的判断? 请问你用的是哪个规则,4.0的不像你说的那样,关键是规则! *** 作者被禁止或删除 内容自动屏蔽 *** 4.0 B2 大将军的安静规则
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\tree.com
触发规则:所有程序规则->黑白名单->*.com
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\tree.com
触发规则:所有程序规则->黑白名单->*.com
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\tree.com
触发规则:所有程序规则->黑白名单->*.com
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 创建注册表值 操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Beep
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->可执行文件规则->%SystemDrive%\*.sys
2008-09-01 12:46:43 创建注册表值 操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FUCKALLGUARD
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\tree.com
触发规则:所有程序规则->黑白名单->*.com
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\tree.com
触发规则:所有程序规则->黑白名单->*.com
2008-09-01 12:46:43 修改文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\WINDOWS\system32\tree.com
触发规则:所有程序规则->黑白名单->*.com
2008-09-01 12:46:43 创建文件 操作:阻止
进程路径:F:\下载专区\bak\bak.exe
文件路径:C:\del_exe.bat
触发规则:所有程序规则->黑白名单->%SystemDrive%\*.bat
[[i] 本帖最后由 古滇牛仔 于 2008-9-1 12:50 编辑 [/i]] 我来测试下。我是这样测试的。,没有任何故则,在保护里全部询问。然后感觉只要运行了病毒文件,生成C:下面一个文件。然后运行,就穿了。BEEP.SYS已经被拒绝。应该不是通过服务或者驱动的方式穿透。 EQ防御不住这个。。在3.41.只要点击,哪怕后面全部禁止都没用,
有没人能做个规则。防御这种病毒的。 [quote]原帖由 [i]yj31920[/i] 于 2008-9-1 16:30 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4703836&ptid=318535][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
EQ防御不住这个。。在3.41.只要点击,哪怕后面全部禁止都没用,
有没人能做个规则。防御这种病毒的。 [/quote]
这个 有些不太相信………… 不设置任何规则
防的住才怪 不是没设置任何规则. 仅仅设置了FD的创建文件修改文件,删除文件询问并且阻止.读取允许.
AD里面没有设置任何策略,子普通保护里所有的选项都是询问并且阻止的/
创建文件不允许-------运行程序允许---后面全部不允许.结果还是被穿透
采用4.0B4加大将军安装规则.测试,穿......希望能仔细看下......
刚联系了顺网的技术,说EQ很难防,,,没有到内核.....
应该是错误吧..
[[i] 本帖最后由 yj31920 于 2008-9-1 17:44 编辑 [/i]] [quote]
我来测试下。我是这样测试的。,没有任何故则,在保护里全部询问
[/quote]
[quote]
不是没设置任何规则. 仅仅设置了FD的创建文件修改文件,删除文件询问并且阻止.读取允许.
AD里面没有设置任何策略,子普通保护里所有的选项都是询问并且阻止的/
[/quote]
前后矛盾 晕。。。就算矛盾了,。。我前面没说清楚。因为只加了个FD,就忘记了,前面怕自己写的规则有问题,就全部给勾掉了。不好意思。
但是用什么设置可以防住呢? 方法就算是说过了吧
[[i] 本帖最后由 没注册 于 2008-9-1 18:46 编辑 [/i]] 方法就算是说过了吧
好像狐狸你还没说话的。, 。 。 。 *** 作者被禁止或删除 内容自动屏蔽 ***