[讨论]对病毒文件溯源有什么比较好的工具？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
anfly 雪币： 125 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	anfly 2 楼 hook create file 函数打日志加正则匹配？ 2019-3-29 15:16 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 3 楼对这种基础函数做hook，需要通过驱动来搞？ 2019-3-29 15:44 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 4 楼文件过滤create irp 然后匹配文件名嫌麻烦火绒剑好像就有这个功能最后于 2019-3-29 16:02 被MaMy编辑，原因： 2019-3-29 16:01 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 5 楼 MaMy 文件过滤create irp 然后匹配文件名嫌麻烦火绒剑好像就有这个功能火绒不行的，病毒不定期启动，火绒跑10分钟以上，就要卡死了 2019-3-29 16:58 0
ScoxED 雪币： 7 活跃值： (39) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ScoxED 6 楼 Windows Performance Recorder 2019-3-29 17:06 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 7 楼 petersonhz 火绒不行的，病毒不定期启动，火绒跑10分钟以上，就要卡死了那就minifilter过滤create呗，名字固定比对字符串就好 2019-3-29 17:09 0
寧靜致遠雪币： 244 活跃值： (454) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 457 粉丝 2 关注私信	寧靜致遠 8 楼 procmon.exe 你可以了解下 2019-3-29 18:03 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 9 楼寧靜致遠 procmon.exe 你可以了解下在用，不过这东西能刷几天不卡死么好像每几分钟就卡死了，稳定性竟然比火绒剑差 2019-3-29 18:15 0
寧靜致遠雪币： 244 活跃值： (454) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 457 粉丝 2 关注私信	寧靜致遠 10 楼配置过滤啊 2019-3-29 19:25 0
bambooqj 雪币： 783 活跃值： (1121) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 39 关注私信	bambooqj 11 楼方便的话可以加我QQ 我帮你远程看下. 2019-3-29 21:34 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 12 楼 bambooqj 方便的话可以加我QQ 我帮你远程看下. 用各种工具做过简单分析，细节都在下面这个贴里面 https://bbs.pediy.com/thread-250419.htm 好几天了，病毒还在：（今天杀毒软件，又找到一个病毒文件，说明病毒还在电脑上，怎么杀呢 2019-3-29 23:03 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 13 楼寧靜致遠 procmon.exe 你可以了解下设置过滤了，没多久就卡死了，没办法连续运行几天吧？ 2019-3-29 23:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
anfly 雪币： 125 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	anfly 2 楼 hook create file 函数打日志加正则匹配？ 2019-3-29 15:16 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 3 楼对这种基础函数做hook，需要通过驱动来搞？ 2019-3-29 15:44 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 4 楼文件过滤create irp 然后匹配文件名嫌麻烦火绒剑好像就有这个功能最后于 2019-3-29 16:02 被MaMy编辑，原因： 2019-3-29 16:01 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 5 楼 MaMy 文件过滤create irp 然后匹配文件名嫌麻烦火绒剑好像就有这个功能火绒不行的，病毒不定期启动，火绒跑10分钟以上，就要卡死了 2019-3-29 16:58 0
ScoxED 雪币： 7 活跃值： (39) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ScoxED 6 楼 Windows Performance Recorder 2019-3-29 17:06 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 7 楼 petersonhz 火绒不行的，病毒不定期启动，火绒跑10分钟以上，就要卡死了那就minifilter过滤create呗，名字固定比对字符串就好 2019-3-29 17:09 0
寧靜致遠雪币： 244 活跃值： (454) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 457 粉丝 2 关注私信	寧靜致遠 8 楼 procmon.exe 你可以了解下 2019-3-29 18:03 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 9 楼寧靜致遠 procmon.exe 你可以了解下在用，不过这东西能刷几天不卡死么好像每几分钟就卡死了，稳定性竟然比火绒剑差 2019-3-29 18:15 0
寧靜致遠雪币： 244 活跃值： (454) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 457 粉丝 2 关注私信	寧靜致遠 10 楼配置过滤啊 2019-3-29 19:25 0
bambooqj 雪币： 783 活跃值： (1121) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 39 关注私信	bambooqj 11 楼方便的话可以加我QQ 我帮你远程看下. 2019-3-29 21:34 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 12 楼 bambooqj 方便的话可以加我QQ 我帮你远程看下. 用各种工具做过简单分析，细节都在下面这个贴里面 https://bbs.pediy.com/thread-250419.htm 好几天了，病毒还在：（今天杀毒软件，又找到一个病毒文件，说明病毒还在电脑上，怎么杀呢 2019-3-29 23:03 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 13 楼寧靜致遠 procmon.exe 你可以了解下设置过滤了，没多久就卡死了，没办法连续运行几天吧？ 2019-3-29 23:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复