15,471
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
winnuke 2009-11-24
- 打赏
- 举报
所谓异常应该是值未经用户许可通过注册表实现启动的行为。
所以,hook住RegSetValue就是了。每次让用户选择是否添加注册表启动项。
所以,hook住RegSetValue就是了。每次让用户选择是否添加注册表启动项。
voidsky 2009-11-24
- 打赏
- 举报
如果自己维护一个列表的话,那是不是要根据情况不停的进行更新
oyljerry 2009-11-24
- 打赏
- 举报
1.首先遍历所有的系统启动项,获取对应的启动项文件路径等
2.参考杀毒软件的做法,分析exe是否为恶意程序,是否有合法数字签名,是否为恶意程序列表等
2.参考杀毒软件的做法,分析exe是否为恶意程序,是否有合法数字签名,是否为恶意程序列表等
wltg2001 2009-11-24
- 打赏
- 举报
[Quote=引用 1 楼 tr0j4n 的回复:]
这个只能自己维护个白名单列表了,和其进行对比查找异常的项
[/Quote]
同上,自己维护一个列表,对于没见过的一律认为异常
这个只能自己维护个白名单列表了,和其进行对比查找异常的项
[/Quote]
同上,自己维护一个列表,对于没见过的一律认为异常
MoXiaoRab 2009-11-24
- 打赏
- 举报
这个只能自己维护个白名单列表了,和其进行对比查找异常的项
