EQ如何防止下面这个机器狗的穿透。8月22号的
我测试了一个晚上.EQ 版本3.41。。。。请各位帮忙。...好象不是通过安装驱动来穿透的。还原软件为网维大师6120 2008-08-31 11:28:03 修改文件 操作:阻止进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-31 11:28:03 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-31 11:28:03 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-31 11:28:03 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:应用程序规则->重要文件->*->%SystemRoot%\System32\userinit.exe
2008-08-31 11:28:03 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:应用程序规则->重要文件->*->%SystemRoot%\System32\userinit.exe
2008-08-31 11:28:03 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:应用程序规则->重要文件->*->%SystemRoot%\System32\userinit.exe
2008-08-31 11:28:03 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\tree.com
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.com
2008-08-31 11:28:03 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\tree.com
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.com
2008-08-31 11:28:03 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\tree.com
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.com
2008-08-31 11:28:03 创建文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\00B7A175
触发规则:所有程序规则->全局写入设置_普通模式->?:\*
2008-08-31 11:28:18 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:18 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:18 删除注册表 操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Beep
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*
2008-08-31 11:28:18 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:18 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:18 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:18 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:18 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:18 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:32 安装服务或者驱动 操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe
2008-08-31 11:28:32 删除注册表 操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Beep
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.sys
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:应用程序规则->重要文件->*->%SystemRoot%\System32\userinit.exe
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:应用程序规则->重要文件->*->%SystemRoot%\System32\userinit.exe
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\userinit.exe
触发规则:应用程序规则->重要文件->*->%SystemRoot%\System32\userinit.exe
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\tree.com
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.com
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\tree.com
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.com
2008-08-31 11:28:32 修改文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\WINDOWS\system32\tree.com
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.com
2008-08-31 11:28:33 创建文件 操作:阻止
进程路径:C:\Documents and Settings\sanhu35\桌面\bak.exe
文件路径:C:\del_exe.bat
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.bat
[[i] 本帖最后由 sanhu35 于 2008-8-31 11:30 编辑 [/i]] 2008-11-06 19:02:18 修改文件 操作:阻止并结束进程
进程路径:C:\Documents and Settings\明明\桌面\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe
真是一步到位呀~ [quote]原帖由 [i]左手[/i] 于 2008-11-6 19:02 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=5393592&ptid=318548][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
2008-11-06 19:02:18 修改文件 操作:阻止并结束进程
进程路径:C:\Documents and Settings\明明\桌面\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->可执行文件规则->%windir%\ ... [/quote]
3.41没有阻止并结束进程这个功能啊[:08:] 那就换个4.0的版本啊 [quote]原帖由 [i]左手[/i] 于 2008-11-6 19:02 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=5393592&ptid=318548][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
2008-11-06 19:02:18 修改文件 操作:阻止并结束进程
进程路径:C:\Documents and Settings\明明\桌面\bak.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->可执行文件规则->%windir%\ ... [/quo
左手用谁的规则 不知道影子系统被穿透的入口或原理是什么
如果把入口堵住是那不是可以防任何的机器狗了? [quote]原帖由 [i]洲仔[/i] 于 2008-11-6 21:12 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=5395185&ptid=318548][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
[quote]原帖由 左手 于 2008-11-6 19:02 发表 [img]http://bbs.kafan.cn/images/common/back.gif[/img]
2008-11-06 19:02:18 修改文件 操作:阻止并结束进程
进程路径:C:\Documents and Settings\明明\桌面\bak.exe
文 ... [/quote]老安静~
怎么了?飘兄那个4。14B2,自带的~ 这个病毒最主要的是有个低层磁盘操作,eq拦不到低层写,只能拦低层读,
所以,如果没有拦到低层磁盘操作,可能系统已经有问题了,最好查清楚。
页:
[1]