无忧启动论坛

标题: 求检测PE在启动过程中有没有对硬盘写入的方法或工具 [打印本页]

作者: 1400700226 时间: 2015-5-15 10:51
标题: 求检测PE在启动过程中有没有对硬盘写入的方法或工具
为了堤防恶意行为的PE,能不能基于qemu制作这么个工具，或者用VMWare 工作站或虚拟盒子的某些功能？

作者: plutoshen 时间: 2015-5-15 11:35
帮顶

作者: 邪恶海盗 时间: 2015-5-15 13:39
启动的过程应该不会吧,看一下PECMD.ini试试...

作者: 1400700226 时间: 2015-5-15 13:48

邪恶海盗发表于 2015-5-15 13:39
启动的过程应该不会吧,看一下PECMD.ini试试...

那些恶意PE都是加密的，我觉得只能从底层监控读写行为

作者: lbw2007 时间: 2015-5-15 16:46

1400700226 发表于 2015-5-15 13:48
那些恶意PE都是加密的，我觉得只能从底层监控读写行为

用虚拟机测试一下不就行了？
主流恶意PE都是某毛桃、某白菜、某大师、某脑店之类的
主流恶意脚本一般都是针对于分区表和system32进行操作的。
想在PE里面植入脚本简直太容易了。
所以最好的办法还是用人不疑，疑人不用

作者: 1400700226 时间: 2015-5-15 17:03

lbw2007 发表于 2015-5-15 16:46
用虚拟机测试一下不就行了？
主流恶意PE都是某毛桃、某白菜、某大师、某脑店之类的
主流恶意脚本一般 ...

我是小白，不知如何简易测试？

作者: 邪恶海盗 时间: 2015-5-15 20:23

1400700226 发表于 2015-5-15 13:48
那些恶意PE都是加密的，我觉得只能从底层监控读写行为

用靠谱的就行了,比如我现在只用0PE,我相信无忧论坛里名气大点的都是靠谱的...

作者: lbw2007 时间: 2015-5-16 18:53

1400700226 发表于 2015-5-15 17:03
我是小白，不知如何简易测试？

根据前辈们的教训，某白菜PE在GHOST上做过手脚。虽然没做过具体测试，不过用自己的ghost有可能安全一些。目前没有小白鼠，也没有打算测试这些流氓PE。你可以试一试，把petools.wim换成自己的，看看有没有恶意脚本。也可以听从LS的建议，PECMD不是加密了吗？替换成解密过的在虚拟机里面测试

作者: 1400700226 时间: 2015-5-16 18:56

lbw2007 发表于 2015-5-16 18:53
根据前辈们的教训，某白菜PE在GHOST上做过手脚。虽然没做过具体测试，不过用自己的ghost有可能安全一些。 ...

谢谢！

欢迎光临无忧启动论坛 (http://wuyou.net./)