无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 2983|回复: 8
打印 上一主题 下一主题

[求助] 求检测PE在启动过程中有没有对硬盘写入的方法或工具

[复制链接]
跳转到指定楼层
1#
发表于 2015-5-15 10:51:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
为了堤防恶意行为的PE,能不能基于qemu制作这么个工具,或者用VMWare 工作站或虚拟盒子的某些功能?
2#
发表于 2015-5-15 11:35:22 来自手机 | 只看该作者
帮顶
回复

使用道具 举报

3#
发表于 2015-5-15 13:39:02 | 只看该作者
启动的过程应该不会吧,看一下PECMD.ini试试...

点评

那些恶意PE都是加密的,我觉得只能从底层监控读写行为  详情 回复 发表于 2015-5-15 13:48
回复

使用道具 举报

4#
 楼主| 发表于 2015-5-15 13:48:31 | 只看该作者
邪恶海盗 发表于 2015-5-15 13:39
启动的过程应该不会吧,看一下PECMD.ini试试...

那些恶意PE都是加密的,我觉得只能从底层监控读写行为

点评

用虚拟机测试一下不就行了? 主流恶意PE都是 某毛桃、某白菜、某大师、某脑店之类的 主流恶意脚本一般都是针对于分区表和system32进行操作的。 想在PE里面植入脚本简直太容易了。 所以最好的办法还是用人不疑,  详情 回复 发表于 2015-5-15 16:46
回复

使用道具 举报

5#
发表于 2015-5-15 16:46:43 | 只看该作者
1400700226 发表于 2015-5-15 13:48
那些恶意PE都是加密的,我觉得只能从底层监控读写行为

用虚拟机测试一下不就行了?
主流恶意PE都是 某毛桃、某白菜、某大师、某脑店之类的
主流恶意脚本一般都是针对于分区表和system32进行操作的。
想在PE里面植入脚本简直太容易了。
所以最好的办法还是用人不疑,疑人不用

点评

我是小白,不知如何简易测试?  详情 回复 发表于 2015-5-15 17:03
回复

使用道具 举报

6#
 楼主| 发表于 2015-5-15 17:03:32 | 只看该作者
lbw2007 发表于 2015-5-15 16:46
用虚拟机测试一下不就行了?
主流恶意PE都是 某毛桃、某白菜、某大师、某脑店之类的
主流恶意脚本一般 ...

我是小白,不知如何简易测试?

点评

根据前辈们的教训,某白菜PE在GHOST上做过手脚。虽然没做过具体测试,不过用自己的ghost有可能安全一些。目前没有小白鼠,也没有打算测试这些流氓PE。你可以试一试,把petools.wim换成自己的,看看有没有恶意脚本。  详情 回复 发表于 2015-5-16 18:53
回复

使用道具 举报

7#
发表于 2015-5-15 20:23:13 | 只看该作者
1400700226 发表于 2015-5-15 13:48
那些恶意PE都是加密的,我觉得只能从底层监控读写行为

用靠谱的就行了,比如我现在只用0PE,我相信无忧论坛里名气大点的都是靠谱的...
回复

使用道具 举报

8#
发表于 2015-5-16 18:53:09 | 只看该作者
1400700226 发表于 2015-5-15 17:03
我是小白,不知如何简易测试?

根据前辈们的教训,某白菜PE在GHOST上做过手脚。虽然没做过具体测试,不过用自己的ghost有可能安全一些。目前没有小白鼠,也没有打算测试这些流氓PE。你可以试一试,把petools.wim换成自己的,看看有没有恶意脚本。也可以听从LS的建议,PECMD不是加密了吗?替换成解密过的在虚拟机里面测试

点评

谢谢!  详情 回复 发表于 2015-5-16 18:56
回复

使用道具 举报

9#
 楼主| 发表于 2015-5-16 18:56:48 | 只看该作者
lbw2007 发表于 2015-5-16 18:53
根据前辈们的教训,某白菜PE在GHOST上做过手脚。虽然没做过具体测试,不过用自己的ghost有可能安全一些。 ...

谢谢!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-12-1 11:33

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表