‹‹ 上一主題 | 下一主題 ››
發新話題
打印

[測試] 2007/7/30過卡巴的主動防禦

Roger

Analyst Expert

Rank: 8Rank: 8

帖子
2376 
精華
1 
威望
5383  
黃金
9635  
註冊時間
2007-3-14 
1# 發表於 2007-7-30 09:14  只看該作者

2007/7/30過卡巴的主動防禦

從卡飯轉來的,測試一下卡巴的主動防禦吧!

測試時,請關掉病毒庫的監控!

http://bbs.kafan.cn/viewthread.php?tid=113070&extra=&page=1

EQ-Secure RC4的RD可以攔截!
引用:
2007-07-30 09:04:48    创建注册表值      操作:阻止
进程路径:D:\desktop\virus\Kkav67bypass\kav67bypass.exe
注册表路径:HKEY_CURRENT_USER\machine\software\microsoft\windows nt\currentversion\winlogon
注册表名称:astRXLaboratory
注册表数据:C:\astrxlab.exe
触发规则:所有程序规则->WinLogon->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*
1.它會创建注册表值
   HKEY_CURRENT_USER\machine\software\microsoft\windows nt\currentversion\winlogon
   astRXLaboratory
   C:\astrxlab.exe
附件: 您所在的用戶組無法下載或查看附件

TOP

000110

AV Expert

Rank: 8Rank: 8

帖子
1966 
精華
9 
威望
8876  
黃金
2248  
註冊時間
2007-1-17 
2# 發表於 2007-7-30 10:34  只看該作者
7版也不能攔截"過卡巴主動防禦"

TOP

a750828

Gordon

金牌會員

Rank: 6Rank: 6

AMD PowerUser

帖子
4096 
精華
2 
威望
7809  
黃金
4558  
來自
中華民國 R.O.C 
註冊時間
2007-1-20 
3# 發表於 2007-7-30 10:40  只看該作者
McAfee miss
McAfee上報信箱:Virus_Research@avertlabs.com
加壓ZIP密碼:infected
打破Intel一家獨大局面,支持AMD提供用戶更好的效能表現
AMD Phenom X4 獨"一"無"二" 強"四"登場

TOP

jack7087

金牌會員

Rank: 6Rank: 6

帖子
1353 
精華
0 
威望
2441  
黃金
6989  
註冊時間
2007-2-13 
4# 發表於 2007-7-30 11:14  只看該作者
費爾報啟發
Folding@HOME 台灣聯盟團隊專區

TOP

ㄚ一

我愛小紅獅

AV Expert

Rank: 8Rank: 8

小紅獅親衛隊隊長

帖子
4932 
精華
18 
威望
30838  
黃金
3956  
來自
台灣台北 
註冊時間
2006-12-22 
5# 發表於 2007-7-30 14:56  只看該作者
並沒有過KAV....
樓主應該知道用EQ這類的HIPS要完善它,必須建立規則
或是套用別人製作的規則包,才能發揮他的真正功能
KAV也是同樣的問題...不多說了,自己看圖吧...









關閉kav的pdm運行這個測試程式,會發現在c:\底下被創建astrxlab.exe
但是pdm開啟並攔截之後c:\底下是不會生成astrxlab.exe這個檔案的
別的地方有些人說KAV的PDM是雞助,那是因為他們根本不了解PDM的精髓
要是遇到會用的人,用一句成語形容的話就是"如魚得水"
Lawliet's blog
Folding@home with GPGPU集中討論串,大家一起來努力朝著全球制霸的目標邁進!

TOP

000110

AV Expert

Rank: 8Rank: 8

帖子
1966 
精華
9 
威望
8876  
黃金
2248  
註冊時間
2007-1-17 
6# 發表於 2007-7-30 15:02  只看該作者

回復 #5 ㄚ一 的帖子

要是一開始直接測"過卡巴主動防禦"
卡巴7的pdm是不能攔截

TOP

ㄚ一

我愛小紅獅

AV Expert

Rank: 8Rank: 8

小紅獅親衛隊隊長

帖子
4932 
精華
18 
威望
30838  
黃金
3956  
來自
台灣台北 
註冊時間
2006-12-22 
7# 發表於 2007-7-30 15:06  只看該作者
引用:
原帖由 000110 於 2007-7-30 15:02 發表
要是一開始直接測"過卡巴主動防禦"
卡巴7的pdm是不能攔截
我就是直接選"過卡巴主動防禦",一樣攔截
Lawliet's blog
Folding@home with GPGPU集中討論串,大家一起來努力朝著全球制霸的目標邁進!

TOP

000110

AV Expert

Rank: 8Rank: 8

帖子
1966 
精華
9 
威望
8876  
黃金
2248  
註冊時間
2007-1-17 
8# 發表於 2007-7-30 15:09  只看該作者
我直接選"過卡巴主動防禦"不能攔截
立即在c:\產生了一個名為astrxlab的exe檔

但先執行"正常"再執行"過卡巴主動防禦"卡巴就可以攔截

TOP

ㄚ一

我愛小紅獅

AV Expert

Rank: 8Rank: 8

小紅獅親衛隊隊長

帖子
4932 
精華
18 
威望
30838  
黃金
3956  
來自
台灣台北 
註冊時間
2006-12-22 
9# 發表於 2007-7-30 15:21  只看該作者
我照你說的方式作了一遍,第一次先點"過卡巴主動防禦"一樣PDM攔截
重點在於你的PDM沒有加規則,而不是PDM防不住
Lawliet's blog
Folding@home with GPGPU集中討論串,大家一起來努力朝著全球制霸的目標邁進!

TOP

ㄚ一

我愛小紅獅

AV Expert

Rank: 8Rank: 8

小紅獅親衛隊隊長

帖子
4932 
精華
18 
威望
30838  
黃金
3956  
來自
台灣台北 
註冊時間
2006-12-22 
10# 發表於 2007-7-30 15:32  只看該作者
說了那麼多,卻忘記公佈最重要的規則...
自己加一道規則測試看看吧

KEY:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
VALUE:*
Lawliet's blog
Folding@home with GPGPU集中討論串,大家一起來努力朝著全球制霸的目標邁進!

TOP

000110

AV Expert

Rank: 8Rank: 8

帖子
1966 
精華
9 
威望
8876  
黃金
2248  
註冊時間
2007-1-17 
11# 發表於 2007-7-30 15:32  只看該作者
原來是這樣
謝謝大大的指導

TOP

man1221995

金牌會員

Rank: 6Rank: 6

帖子
373 
精華
0 
威望
2414  
黃金
633  
註冊時間
2007-11-14 
12# 發表於 2007-11-15 22:12  只看該作者
avast  :  Win32:IRCBot-BWU [Trj]=木馬

TOP

sun88990

Moderator

Rank: 7Rank: 7Rank: 7

帖子
1551 
精華
0 
威望
8761  
黃金
760  
來自
台灣台北 
註冊時間
2007-10-24 
13# 發表於 2008-3-15 19:03  只看該作者
事隔半年..McAfee一樣miss..

TOP

‹‹ 上一主題 | 下一主題 ››
發新話題