近期出现可绕过毒霸专杀工具的灰鸽子样本,但无法逃避实时监控。通过特殊加壳手段,这些样本能在不被毒霸专杀发现的情况下运行,但在数据流引擎监测下仍会被拦截。Vista系统对灰鸽子服务端的运行有限制,提升了安全性。
这两天有网友说已经搞到可以过毒霸专杀的灰鸽子样本,动作还是挺快的。
毒霸专杀本身没有解壳模块,加壳是过毒霸专杀的方法。这几个样本可以过毒霸专杀,但过不了毒霸的实时监控,这就是数据流的威力了。特殊加壳程序执行时,数据流引擎直接识别灰鸽子特征,将其杀掉,这样看,还不能算过了毒霸这一关。
建议用户不能单纯依赖灰鸽子专杀,开着毒霸的实时监控,以对付这几种专门针对毒霸的加壳***。
另外,下午抽空试了下在vista下跑灰鸽子服务端,大部分控制功能可用。如果要运行的服务端程序名不是setup.exe和install.exe,带有欺骗特征的文件名,将不能被执行,vista还是安全了很多。关闭UAC后,vista的安全性,就和xp差不多了,还是建议不要关闭了。
毒霸专杀本身没有解壳模块,加壳是过毒霸专杀的方法。这几个样本可以过毒霸专杀,但过不了毒霸的实时监控,这就是数据流的威力了。特殊加壳程序执行时,数据流引擎直接识别灰鸽子特征,将其杀掉,这样看,还不能算过了毒霸这一关。
建议用户不能单纯依赖灰鸽子专杀,开着毒霸的实时监控,以对付这几种专门针对毒霸的加壳***。
另外,下午抽空试了下在vista下跑灰鸽子服务端,大部分控制功能可用。如果要运行的服务端程序名不是setup.exe和install.exe,带有欺骗特征的文件名,将不能被执行,vista还是安全了很多。关闭UAC后,vista的安全性,就和xp差不多了,还是建议不要关闭了。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
