神父
金牌會員
查看詳細資料
TOP
Gordon
AMD PowerUser
Analyst Expert
2007-12-23 21:34:51 執行應用程序 操作:允許 程序路徑:C:\WINDOWS\Explorer.EXE 檔案路徑:D:\hard.scr 指令列:/S 觸發規則:所有程序規則->系統程式_黑名單->?:\* 2007-12-23 21:34:54 載入驅動程序 操作:封鎖 程序路徑:C:\WINDOWS\system32\services.exe 裝置名稱:Ip6Fw 觸發規則:所有程序規則->*
2007-12-23 21:34:56 建立檔案 操作:允許 程序路徑:D:\hard.scr 檔案路徑:C:\WINDOWS\System32\drivers\runtime.sys 觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys 2007-12-23 21:34:58 建立登錄檔值 操作:允許 程序路徑:D:\hard.scr 登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\runtime 登錄檔名稱:[Key] 觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\* 2007-12-23 21:34:59 安裝服務或驅動 操作:允許 程序路徑:D:\hard.scr 檔案路徑:C:\WINDOWS\System32\drivers\runtime.sys 觸發規則:所有程序規則->* 2007-12-23 21:35:01 建立登錄檔值 操作:允許 程序路徑:D:\hard.scr 登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\runtime 登錄檔名稱:ImagePath 登錄檔數值:\??\C:\WINDOWS\System32\drivers\runtime.sys 觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\* 2007-12-23 21:35:03 載入驅動程序 操作:封鎖 程序路徑:D:\hard.scr 裝置名稱:runtime 觸發規則:所有程序規則->* 2007-12-23 21:35:10 刪除檔案 操作:允許 程序路徑:D:\hard.scr 檔案路徑:C:\WINDOWS\system32\drivers\runtime.sys 觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys
2007-12-23 21:35:04 執行應用程序 操作:允許 程序路徑:D:\hard.scr 檔案路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE 觸發規則:所有程序規則->系統程式_白名單->%ProgramFiles%\Internet Explorer\IEXPLORE.EXE 2007-12-23 21:35:07 修改其它程序記憶體 操作:允許 程序路徑:D:\hard.scr 目標程序:C:\Program Files\Internet Explorer\IEXPLORE.EXE 觸發規則:所有程序規則->* 2007-12-23 21:35:12 建立檔案 操作:允許 程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE 檔案路徑:C:\WINDOWS\system32\2_exception.nls 觸發規則:所有程序規則->全域設定_普通模式->* 2007-12-23 21:36:08 建立檔案 操作:允許 程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE 檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\2258765.exe 觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe 2007-12-23 21:36:10 執行應用程序 操作:封鎖 程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE 檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\2258765.exe 觸發規則:所有程序規則->*
2007-12-23 21:36:19 執行應用程序 操作:允許 程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE 檔案路徑:C:\WINDOWS\system32\svchost.exe 觸發規則:所有程序規則->* 2007-12-23 21:36:21 修改其它程序記憶體 操作:允許 程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE 目標程序:C:\WINDOWS\system32\svchost.exe 觸發規則:所有程序規則->* 2007-12-23 21:36:24 建立遠端執行緒 操作:允許 程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE 目標程序:C:\WINDOWS\system32\svchost.exe 觸發規則:所有程序規則->*
2007-12-23 21:38:11 執行應用程序 操作:允許 程序路徑:C:\WINDOWS\system32\svchost.exe 檔案路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE 觸發規則:所有程序規則->系統程式_白名單->%ProgramFiles%\Internet Explorer\IEXPLORE.EXE 2007-12-23 21:38:14 修改其它程序記憶體 操作:允許 程序路徑:C:\WINDOWS\system32\svchost.exe 目標程序:C:\Program Files\Internet Explorer\IEXPLORE.EXE 觸發規則:所有程序規則->* 2007-12-23 21:38:16 建立遠端執行緒 操作:允許 程序路徑:C:\WINDOWS\system32\svchost.exe 目標程序:C:\Program Files\Internet Explorer\IEXPLORE.EXE 觸發規則:所有程序規則->*
中級會員
2007-12-23 21:56:48 執行應用程序 操作:允許 程序路徑:C:\WINDOWS\Explorer.EXE 檔案路徑:D:\2258765.exe 觸發規則:所有程序規則->系統程式_黑名單->?:\* 2007-12-23 21:57:01 建立登錄檔值 操作:允許 程序路徑:D:\2258765.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Bfj60.sys 登錄檔名稱:[Key] 觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot* 2007-12-23 21:57:03 建立登錄檔值 操作:允許 程序路徑:D:\2258765.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Bfj60.sys 登錄檔名稱:[Default] 觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot* 2007-12-23 21:57:05 建立登錄檔值 操作:允許 程序路徑:D:\2258765.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Bfj60.sys 登錄檔名稱:[Key] 觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot* 2007-12-23 21:57:07 建立登錄檔值 操作:允許 程序路徑:D:\2258765.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Bfj60.sys 登錄檔名稱:[Default] 觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*
2007-12-23 21:57:10 建立檔案 操作:允許 程序路徑:D:\2258765.exe 檔案路徑:C:\WINDOWS\System32\drivers\Bfj60.sys 觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys 2007-12-23 21:57:12 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\services.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Bfj60 登錄檔名稱:[Key] 觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\* 2007-12-23 21:57:14 安裝服務或驅動 操作:允許 程序路徑:C:\WINDOWS\system32\services.exe 檔案路徑:C:\WINDOWS\System32\drivers\Bfj60.sys 觸發規則:所有程序規則->* 2007-12-23 21:57:16 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\services.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Bfj60 登錄檔名稱:ImagePath 登錄檔數值:\??\C:\WINDOWS\System32\drivers\Bfj60.sys 觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\* 2007-12-23 21:57:18 載入驅動程序 操作:封鎖 程序路徑:C:\WINDOWS\system32\services.exe 裝置名稱:Bfj60 觸發規則:所有程序規則->*
2007-12-23 21:57:20 執行應用程序 操作:允許 程序路徑:D:\2258765.exe 檔案路徑:C:\WINDOWS\system32\cmd.exe 指令列:/c del D:\2258765.exe >> NUL 觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe 2007-12-23 21:57:21 刪除檔案 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:D:\2258765.exe 觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe
我愛小紅獅
AV Expert
小紅獅親衛隊隊長
查看個人網站
Moderator
現在出國中!
高級會員
原帖由 Roger 於 2007-12-24 20:32 發表 http://bbs.kafan.cn/viewthread.php?tid=176426 大陸的 沒註冊 發現原因了 =============================== 不过,用新的EQ3.5测试的话 第一个拦截行为是底层磁盘操作 如果使用EQ3.41的话,由于BUG的原因 不能拦截病毒的底层磁盘操作 而会导致Ip6Fw.sys被病毒修改
原帖由 hwwgo 於 2007-9-24 08:28 發表 低階硬碟操作有bug,等待下一版.
