[讨论]木马行为研究-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
路易雪币： 6 活跃值： (1167) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 100 粉丝 1 关注私信	路易 2 楼实际木马的行为就是修改文件，修改注册表，加载DLL等等。。最最关键的技术如何把这些行为分成两种：恶意的和非恶意的。也就是白名建立历很难。说到底还是老技术，特征码。 2011-8-31 15:34 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 3 楼楼上说得没错，所以我们现在讨论的就是如何来区分比如修改注册表，非正常程序修改开机启动项可以视为木马特征之一其他可以直接通过比如一般程序不会去读取其他程序的内存内容木马很有可能会如果能竟可能找出多的特征来，那么久有可能通过这些一系列的行为特征来判断这个程序是否是木马。当然这个判断你可能认为不准确，但是如果只是用这个来提示用户，并不做杀毒操作呢 2011-8-31 15:54 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 4 楼只要有可能对系统造成危险交互的操作360都报，当然，除了在360白名单内和有根证书受信的证书软件外~ 2011-8-31 20:08 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 5 楼还有这些只要在系统目录生成pe文件的,都是木马非系统目录存在系统目录下的dll (如 lpk.dll usp.dll) 都认为是木马桌面上陌生的快捷方式木马桌面上文件里面有就算有 asp文件也算可疑据说.大于4G的木马不是木马 2011-8-31 20:20 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 6 楼嗯，还有木有继续顶贴 2011-8-31 21:05 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 7 楼有点意思。进程劫持的手段算嘛？比如说HOOK之类的。 2011-8-31 21:54 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 8 楼打开文件就自动运行的算不算 2011-9-7 14:02 0
ilovehuhu 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	ilovehuhu 9 楼 dll劫持的不知道算不算木马呢？ 2011-9-8 15:52 0
sehoooo 雪币： 120 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	sehoooo 10 楼找微点买主动防御规则哈 2011-9-23 09:35 0
magicliang 雪币： 3 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	magicliang 11 楼自删除虚假图标注入浏览器资源管理器等常见进程遍历注册表找相关的键（比如盗号程序确定游戏目录）这些都是很值得怀疑的木马行为 2011-9-23 11:34 0
杨子各个雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	杨子各个 12 楼看一看学习一下 2014-1-2 09:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
路易雪币： 6 活跃值： (1167) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 100 粉丝 1 关注私信	路易 2 楼实际木马的行为就是修改文件，修改注册表，加载DLL等等。。最最关键的技术如何把这些行为分成两种：恶意的和非恶意的。也就是白名建立历很难。说到底还是老技术，特征码。 2011-8-31 15:34 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 3 楼楼上说得没错，所以我们现在讨论的就是如何来区分比如修改注册表，非正常程序修改开机启动项可以视为木马特征之一其他可以直接通过比如一般程序不会去读取其他程序的内存内容木马很有可能会如果能竟可能找出多的特征来，那么久有可能通过这些一系列的行为特征来判断这个程序是否是木马。当然这个判断你可能认为不准确，但是如果只是用这个来提示用户，并不做杀毒操作呢 2011-8-31 15:54 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 4 楼只要有可能对系统造成危险交互的操作360都报，当然，除了在360白名单内和有根证书受信的证书软件外~ 2011-8-31 20:08 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 5 楼还有这些只要在系统目录生成pe文件的,都是木马非系统目录存在系统目录下的dll (如 lpk.dll usp.dll) 都认为是木马桌面上陌生的快捷方式木马桌面上文件里面有就算有 asp文件也算可疑据说.大于4G的木马不是木马 2011-8-31 20:20 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 6 楼嗯，还有木有继续顶贴 2011-8-31 21:05 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 7 楼有点意思。进程劫持的手段算嘛？比如说HOOK之类的。 2011-8-31 21:54 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 8 楼打开文件就自动运行的算不算 2011-9-7 14:02 0
ilovehuhu 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	ilovehuhu 9 楼 dll劫持的不知道算不算木马呢？ 2011-9-8 15:52 0
sehoooo 雪币： 120 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	sehoooo 10 楼找微点买主动防御规则哈 2011-9-23 09:35 0
magicliang 雪币： 3 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	magicliang 11 楼自删除虚假图标注入浏览器资源管理器等常见进程遍历注册表找相关的键（比如盗号程序确定游戏目录）这些都是很值得怀疑的木马行为 2011-9-23 11:34 0
杨子各个雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	杨子各个 12 楼看一看学习一下 2014-1-2 09:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[讨论]木马行为 研究

[讨论]木马行为研究