求检测PE在启动过程中有没有对硬盘写入的方法或工具

1400700226 · 发表于 2015-5-15 10:51:13

为了堤防恶意行为的PE,能不能基于qemu制作这么个工具，或者用VMWare 工作站或虚拟盒子的某些功能？

plutoshen · 发表于 2015-5-15 11:35:22

帮顶

邪恶海盗 · 发表于 2015-5-15 13:39:02

启动的过程应该不会吧,看一下PECMD.ini试试...

1400700226 · 发表于 2015-5-15 13:48:31

邪恶海盗发表于 2015-5-15 13:39
启动的过程应该不会吧,看一下PECMD.ini试试...

那些恶意PE都是加密的，我觉得只能从底层监控读写行为

lbw2007 · 发表于 2015-5-15 16:46:43

1400700226 发表于 2015-5-15 13:48
那些恶意PE都是加密的，我觉得只能从底层监控读写行为

用虚拟机测试一下不就行了？
主流恶意PE都是某毛桃、某白菜、某大师、某脑店之类的
主流恶意脚本一般都是针对于分区表和system32进行操作的。
想在PE里面植入脚本简直太容易了。
所以最好的办法还是用人不疑，疑人不用

1400700226 · 发表于 2015-5-15 17:03:32

lbw2007 发表于 2015-5-15 16:46
用虚拟机测试一下不就行了？
主流恶意PE都是某毛桃、某白菜、某大师、某脑店之类的
主流恶意脚本一般 ...

我是小白，不知如何简易测试？

邪恶海盗 · 发表于 2015-5-15 20:23:13

1400700226 发表于 2015-5-15 13:48
那些恶意PE都是加密的，我觉得只能从底层监控读写行为

用靠谱的就行了,比如我现在只用0PE,我相信无忧论坛里名气大点的都是靠谱的...

lbw2007 · 发表于 2015-5-16 18:53:09

1400700226 发表于 2015-5-15 17:03
我是小白，不知如何简易测试？

根据前辈们的教训，某白菜PE在GHOST上做过手脚。虽然没做过具体测试，不过用自己的ghost有可能安全一些。目前没有小白鼠，也没有打算测试这些流氓PE。你可以试一试，把petools.wim换成自己的，看看有没有恶意脚本。也可以听从LS的建议，PECMD不是加密了吗？替换成解密过的在虚拟机里面测试

1400700226 · 发表于 2015-5-16 18:56:48

lbw2007 发表于 2015-5-16 18:53
根据前辈们的教训，某白菜PE在GHOST上做过手脚。虽然没做过具体测试，不过用自己的ghost有可能安全一些。 ...

谢谢！

		自动登录	找回密码
密码			注册

[求助] 求检测PE在启动过程中有没有对硬盘写入的方法或工具

点评

点评

点评

点评

点评