推 blman:machine 字樣去掉,就是實體攻擊時寫入的 registry 12/27 13:59
→ blman:現在很多 HIPS 或 sandbox 都是用類似虛擬機碼的方式 12/27 13:59
→ blman:來與實體主機作區隔,以免惡意程式攻擊到實體主機上 :) 12/27 14:00
→ lcjjaff:恩~確實我是在虛擬機下測試XD不然這台電腦都是論文的東西 12/27 14:02
→ lcjjaff:報告大師:這邊測試可以了^^ 12/27 14:14
推 SDUM:你用sandboxie嗎? 12/27 14:49
→ SDUM:HKEY_CURRENT_USER\machine 是指 HKLM 12/27 14:50
→ SDUM:HKEY_CURRENT_USER\user 是指 HKCU 12/27 14:51
推 SDUM:剛剛和未變種的比對,解法一樣? 12/27 16:15
To Sdum大:
感謝解說^^
樣本測試果然不熟Orz
看了一下跟您之前的解
生成的
C:\0h00.exe <---
其實我忘了對他測試了Orz,應該也有寫入機碼,只是blman大師有刪掉他
大概是因為檔案不見了,所已變種有順利刪除了
[取樣本的那台電腦,執行更新後的killvirus-46,可順利刪除] @@a
C:\0000a.exe
這個長的不一樣@@a
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~:\Local Settings\Temporary Internet Files\Content.IE5\CNRA8I15\000000000000a[1].exe
然後會下載的那個東西
我測出來的結果是長這樣,不知道是不是亂數生成的@@?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
另外請教:
使用EQSysSecure的時候,
是不是把防毒軟體(BD)打開,
只要BD與EQ都對那個樣本進行控制時,就會直接重新開機Orz
開完以後會出現,系統由嚴重錯誤中修復,是否要回報有點軟╮(╯_╰)╭
在測試的時候,每次都會出現這問題~
所以很懶的測試>"<
※ 編輯: lcjjaff 來自: 140.112.63.194 (12/27 17:47)
推 SDUM:測病毒,最好不開防毒,不過,可以事先設例外規則! 12/27 17:52
→ SDUM:長得不一樣,行為卻一樣,非常神奇哦! 12/27 17:53
→ SDUM:話說,最準就是用OllyDebug來分析代碼,不過我不會 T.T 12/27 17:54
推 junorn:可能要看情形啦,像auto.exe這東西就是隨電腦不同他生成的 12/27 17:55
→ junorn:東西也會不同的 12/27 17:55
改錯字...
※ 編輯: lcjjaff 來自: 140.112.63.194 (12/27 18:07)
→ lcjjaff:謝謝S大與J大的說明 m(_._)m 12/27 18:08