打印

[測試] 關閉防毒軟體和 HIPS 的病毒

Roger

Analyst Expert

Rank: 8 Rank: 8

帖子: 2376
精華: 1
威望: 5383
黃金: 9635
註冊時間: 2007-3-14

1^# 大中小發表於 2008-1-8 08:46 只看該作者

關閉防毒軟體和 HIPS 的病毒

第一個，

是測試，每一家防毒軟體和 HIPS 自身的保護力

例如：費爾、卡八、瑞星、江民.........等，防毒軟體請關閉防毒庫，

只開免疫防護動態防禦 HIPS 來作！

--------------------
第二個，

是測試那些防護軟體保護別人的能力，

1.首先執行病毒，注意，不要結束病毒的進程，當然，危險的動作當然阻止，

2.打開 icesword (不一定是 icesword，只要是病毒會關的，都可以拿來作測試！)

看看你的 HIPS 或防毒軟體在阻止他關閉icesword 的進程之後，

icesword 是否還健在

附件: 您所在的用戶組無法下載或查看附件

TOP

asusp4b533

LieroX - NewBie

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 1147
精華: 1
威望: 4575
黃金: 5982
註冊時間: 2007-8-13

2^# 大中小發表於 2008-1-8 19:07 只看該作者

程式啟動時EQ攔到的操作
感覺有病毒行為不知是不是判斷錯誤

2008-01-08 19:03:12 修改登錄檔內容    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d9146bfc-b563-11dc-a333-806d6172696f}
登錄檔名稱:BaseClass
登錄檔數值:Drive
觸發規則:所有程序規則->全部阻止->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\*

2008-01-08 19:03:12 修改登錄檔內容    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d9146bfd-b563-11dc-a333-806d6172696f}
登錄檔名稱:BaseClass
登錄檔數值:Drive
觸發規則:所有程序規則->全部阻止->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\*

2008-01-08 19:03:12 修改登錄檔內容    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d9146bfe-b563-11dc-a333-806d6172696f}
登錄檔名稱:BaseClass
登錄檔數值:Drive
觸發規則:所有程序規則->全部阻止->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\*

2008-01-08 19:03:12 修改登錄檔內容    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{240aa215-babf-11dc-b538-0050fc74ed38}
登錄檔名稱:BaseClass
登錄檔數值:Drive
觸發規則:所有程序規則->全部阻止->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\*

2008-01-08 19:03:12 修改登錄檔內容    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d9146bfb-b563-11dc-a333-806d6172696f}
登錄檔名稱:BaseClass
登錄檔數值:Drive
觸發規則:所有程序規則->全部阻止->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\*

2008-01-08 19:03:12 修改登錄檔內容    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d9146bfa-b563-11dc-a333-806d6172696f}
登錄檔名稱:BaseClass
登錄檔數值:Drive
觸發規則:所有程序規則->全部阻止->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\*

2008-01-08 19:03:12 執行應用程序    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g TEAT-ADMIN:F
觸發規則:應用程序規則->禁止應用程序的操作->*->%WinDir%\system32\*.exe

2008-01-08 19:03:12 執行應用程序    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Everyone:F
觸發規則:應用程序規則->禁止應用程序的操作->*->%WinDir%\system32\*.exe

2008-01-08 19:03:12 修改登錄檔內容    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
登錄檔名稱:ShowSuperHidden
觸發規則:所有程序規則->全部阻止->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
登錄檔名稱:[Key]
觸發規則:應用程序規則->禁止應用程序操作->*->HKEY_LOCAL_MACHINE\SYSTEM\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
登錄檔名稱:[Key]
觸發規則:應用程序規則->禁止應用程序操作->*->HKEY_LOCAL_MACHINE\SYSTEM\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
登錄檔名稱:[Key]
觸發規則:應用程序規則->禁止應用程序操作->*->HKEY_LOCAL_MACHINE\SYSTEM\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
登錄檔名稱:[Key]
觸發規則:應用程序規則->禁止應用程序操作->*->HKEY_LOCAL_MACHINE\SYSTEM\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
登錄檔名稱:[Key]
觸發規則:應用程序規則->禁止應用程序操作->*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\*

2008-01-08 19:03:12 修改登錄檔內容    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
登錄檔名稱:Type
登錄檔數值:radio
觸發規則:應用程序規則->禁止其他程序操作->*->HKEY_LOCAL_MACHINE\*

2008-01-08 19:03:12 建立檔案    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\00302.log
觸發規則:所有程序規則->禁止存取->%WinDir%\*

2008-01-08 19:03:12 建立檔案    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\NetApi00.sys
觸發規則:應用程序規則->禁止其他程序存取->*->*.sys

2008-01-08 19:03:12 建立登錄檔值    操作:封鎖
程序路徑:C:\WINDOWS\system32\services.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetApi00
登錄檔名稱:[Key]
觸發規則:應用程序規則->禁止應用程序操作->*->HKEY_LOCAL_MACHINE\SYSTEM\*

2008-01-08 19:03:12 執行應用程序    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c echo ok
觸發規則:應用程序規則->禁止應用程序的操作->*->%WinDir%\system32\*.exe

2008-01-08 19:03:12 修改檔案    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\com
觸發規則:所有程序規則->禁止存取->%WinDir%\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}
登錄檔名稱:[Key]
登錄檔數值:b-834d-be2efd2c1a33}
觸發規則:應用程序規則->禁止其他程序操作->*->HKEY_LOCAL_MACHINE\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
登錄檔名稱:[Key]
觸發規則:應用程序規則->禁止其他程序操作->*->HKEY_LOCAL_MACHINE\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}
登錄檔名稱:[Key]
登錄檔數值:e4-ae2e-b91490411bfc}
觸發規則:應用程序規則->禁止其他程序操作->*->HKEY_LOCAL_MACHINE\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}
登錄檔名稱:[Key]
登錄檔數值:a5-8411-085bcc18a68d}
觸發規則:應用程序規則->禁止其他程序操作->*->HKEY_LOCAL_MACHINE\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}
登錄檔名稱:[Key]
登錄檔數值:62-b16d-7c29ddecae3f}
觸發規則:應用程序規則->禁止其他程序操作->*->HKEY_LOCAL_MACHINE\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}
登錄檔名稱:[Key]
登錄檔數值:f9-a57b-b813f72dbb91}
觸發規則:應用程序規則->禁止其他程序操作->*->HKEY_LOCAL_MACHINE\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}
登錄檔名稱:[Key]
登錄檔數值:2f-9b89-edd5fbde1328}
觸發規則:應用程序規則->禁止其他程序操作->*->HKEY_LOCAL_MACHINE\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes
登錄檔名稱:[Key]
觸發規則:應用程序規則->禁止其他程序操作->*->HKEY_LOCAL_MACHINE\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0
登錄檔名稱:[Key]
觸發規則:應用程序規則->禁止其他程序操作->*->HKEY_LOCAL_MACHINE\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
登錄檔名稱:[Key]
觸發規則:應用程序規則->禁止其他程序操作->*->HKEY_LOCAL_MACHINE\*

2008-01-08 19:03:12 刪除登錄檔    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer
登錄檔名稱:[Key]
觸發規則:應用程序規則->禁止其他程序操作->*->HKEY_LOCAL_MACHINE\*

2008-01-08 19:03:12 讀取檔案    操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:C:\WINDOWS\system32\Msimtf.dll
觸發規則:應用程序規則->系統程序->C:\WINDOWS\explorer.exe

2008-01-08 19:03:12 讀取檔案    操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:C:\WINDOWS\system32\Msimtf.dll
觸發規則:應用程序規則->系統程序->C:\WINDOWS\explorer.exe

2008-01-08 19:03:12 讀取檔案    操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:C:\WINDOWS\system32\Msimtf.dll
觸發規則:應用程序規則->系統程序->C:\WINDOWS\explorer.exe

2008-01-08 19:03:12 建立檔案    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\com\smss.exe
觸發規則:應用程序規則->禁止存取檔案->*->*\*smss*.exe

2008-01-08 19:03:12 建立檔案    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\com\netcfg.000
觸發規則:所有程序規則->禁止存取->%WinDir%\*

2008-01-08 19:03:12 執行應用程序    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\regsvr32.exe
指令列:C:\WINDOWS\system32\com\netcfg.dll /s
觸發規則:應用程序規則->禁止應用程序的操作->*->%WinDir%\system32\*.exe

2008-01-08 19:03:12 建立檔案    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\com\lsass.exe
觸發規則:應用程序規則->禁止存取檔案->*->*\*lsass*.exe

2008-01-08 19:03:12 建立檔案    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\com\lsass.exe
觸發規則:應用程序規則->禁止存取檔案->*->*\*lsass*.exe

2008-01-08 19:03:12 建立檔案    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\com\lsass.exe
觸發規則:應用程序規則->禁止存取檔案->*->*\*lsass*.exe

2008-01-08 19:03:14 建立檔案    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\lsass.exe.2534859.exe
觸發規則:應用程序規則->禁止存取檔案->*->*\*lsass*.exe

2008-01-08 19:03:14 建立檔案    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\lsass.exe.2534859.exe
觸發規則:應用程序規則->禁止存取檔案->*->*\*lsass*.exe

2008-01-08 19:03:14 建立檔案    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\lsass.exe.2534859.exe
觸發規則:應用程序規則->禁止存取檔案->*->*\*lsass*.exe

2008-01-08 19:03:14 執行應用程序    操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\ping.exe
指令列:-f -n 1 www.baidu.com
觸發規則:應用程序規則->禁止應用程序的操作->*->%WinDir%\system32\*.exe

TOP

integear

誰說要看俺騎木馬的!?

病毒研究室領導

Rank: 8 Rank: 8

帖子: 5063
精華: 4
威望: 32034
黃金: 14845
來自: 台灣ㄟ"彰化"
註冊時間: 2006-12-23

3^# 大中小發表於 2008-1-8 23:58 只看該作者

引用:

原帖由 asusp4b533 於 2008-1-8 19:07 發表

2008-01-08 19:03:14 執行應用程序操作:封鎖
程序路徑:C:\Documents and Settings\TEAT-ADMIN\桌面\pagefilex.exe
檔案路徑:C:\WINDOWS\system32\ping.exe
指令列:-f -n 1 www.baidu.com
觸發規則:應用程序規則->禁止應用程序的操作->*->%WinDir%\system32\*.exe ...

竟然是連上百度

.

TOP

帶您瞭解卡巴斯基2009防禦體系	還有大廠在使用檔案大小判毒	KIS 2009 評測	GDATA 2009中文化簡評
使用過一些防毒軟體之後的心得	Comodo Internet Security Beta	GDATA 2009 行為監控簡評	敢相信掃毒軟體和VT嗎?

[測試] 關閉 防毒軟體 和 HIPS 的病毒

關閉 防毒軟體 和 HIPS 的病毒

引用:

[測試] 關閉防毒軟體和 HIPS 的病毒

關閉防毒軟體和 HIPS 的病毒