是误报还是偶无能，如何检测捆绑文件！！？

鹤冲天 · 发表于 2006-9-15 01:26:42

是误报还是偶无能，如何检测捆绑文件！！？
近日从DOD联盟下载了dod1.3v3382（类似CS的一个游戏）
安装后进入游戏还没等玩偶的风云防火墙就频频报警！（不知道这个防火墙大家认为怎么样？给点意见！！谢谢！）

看他说的有鼻子有眼儿，偶啥也没想超家伙查！！最新的麦咖啡8.0，最新的紫狐斑竹的咔吧绿色6.0，还有最新的ewido。（偶查前都升级了）一无所获，晕死！（强调下偶只查了游戏安装目录）上网查了下网络神偷也没什么找到什么有用的信息，反向连接个人空间下载服务器端，添加注册表添加服务！这些偶机器上都没有。但网上说有专门针对网络神偷的捆绑软件，用Uedit32查找也就找到了一个MZ和一个PE（偶对捆绑软件之会这么一个检测方法）后有下了个无忧捆绑文件探测器（是咱论坛的吗？）也没检测出什么！到此偶是没招了！虾米了，：（
在此恳请各位大虾指点兄弟一下，兄弟感激不尽！！
如果它是采用注入方式，如何判断可疑DLL文件（模块路径下有N多DLL）？？
对了，偶查过了IP是美国的，端口DOD好像也用到27014。

[ 本帖最后由鹤冲天于 2006-9-15 01:33 AM 编辑 ]

6618 · 发表于 2006-9-15 07:00:11

你上传的是什么东东来的，我下来了都打不开：

鹤冲天 · 发表于 2006-9-15 09:45:44

应该打不开，这是那个游戏的可执行文件，没有其他的文件他们工作不了，
上传上来想让大家帮我看下他们是否被捆绑了其他程序！！

6618 · 发表于 2006-9-15 09:51:03

那个游戏大不大，如果不大，给一个下载链接我，我下载下来看看。

6618 · 发表于 2006-9-15 09:56:33

原帖由 鹤冲天 于 2006-9-15 09:45 AM 发表
应该打不开，这是那个游戏的可执行文件，没有其他的文件他们工作不了，
上传上来想让大家帮我看下他们是否被捆绑了其他程序！！

这个文件本身没给捆绑架其他程序。

鹤冲天 · 发表于 2006-9-15 10:07:14

晕死，
那风云总是报警，还说的有鼻子有眼的！
这是游戏下载连接http://down.chinadod.com/dod1.3v3382.exe
351M呵呵不知算不算大！HOHO！

6618 · 发表于 2006-9-15 10:18:10

哗，那么大，我肯定是不下的，文件本身没给捆绑，不等于没有病毒，很多病毒都是注入进程的，比如把一些DLL注入EXPLORER，你的杀软件不一定是误报。

6618 · 发表于 2006-9-15 10:20:25

晕死！（强调下偶只查了游戏安装目录）

只查这个并不可靠！建议用卡巴全盘（C盘）查杀。

鹤冲天 · 发表于 2006-9-15 16:10:03

查了，咔吧什么也没报！！
可买咖啡在咔吧查毒的时候，见下图！为什么是AVP啊

6618 · 发表于 2006-9-15 16:35:32

图中是卖咖啡以前杀的毒的病毒体的备份，你先停掉卖咖啡的监控，把那里的整个文件夹删除就行了。这个与你的风云防火墙报的病毒应该没关。

鹤冲天 · 发表于 2006-9-15 17:22:35

时间是我正在用咔吧查毒的时间啊！！就是今天（15号16点左右啊）而且应用程序是AVP和explorer.exe,
咔吧没问题吧？？要是咔吧没问题这有说明什么呢？？！

6618 · 发表于 2006-9-15 17:32:42

原帖由 6618 于 2006-9-15 04:35 PM 发表
图中是卖咖啡以前杀的毒的病毒体的备份，你先停掉卖咖啡的监控，把那里的整个文件夹删除就行了。这个与你的风云防火墙报的病毒应该没关。

先简单解释一下这个：卖咖啡的监控的时候，你用卡吧扫毒扫到上图的卖咖啡的杀毒备份的时候，激活了卖咖啡的监控，它自然报毒了。

[ 本帖最后由 6618 于 2006-9-15 05:36 PM 编辑 ]

6618 · 发表于 2006-9-15 17:35:51

原帖由 鹤冲天 于 2006-9-15 05:22 PM 发表
时间是我正在用咔吧查毒的时间啊！！就是今天（15号16点左右啊）而且应用程序是AVP和explorer.exe,
咔吧没问题吧？？要是咔吧没问题这有说明什么呢？？！

紫狐的卡吧是肯定没问题的，我下载并用过，软件交流区的那个帖子也是我加的精，那么多人在用，如果用问题，早就有人提出来了。
至于explorer.exe,估计是给病毒注入了DLL，它本身并没有问题。

6618 · 发表于 2006-9-15 17:38:44

这样吧，楼主用SYSCHECK检查一些，在运行那个游戏的时候，EXPLORER给注入了哪进程。

鹤冲天 · 发表于 2006-9-15 18:28:00

没看出什么来！看图吧！！只有3个红的！~

[ 本帖最后由鹤冲天于 2006-9-15 06:30 PM 编辑 ]

鹤冲天 · 发表于 2006-9-15 18:31:48

看了看DOD的，

鹤冲天 · 发表于 2006-9-15 18:33:21

最后的图

6618 · 发表于 2006-9-15 18:56:35

是没看出来，explorer.exe只发现了一个卖咖啡的DLL和风云的HOOK，而DOD下那么多的DLL，也不知是哪个有问题，或什么问题也没有，最后建议，换一个防火墙，比如天网防火墙看会不会报警，如果不会，误报的可能大些，如果会，嘿嘿——

[ 本帖最后由 6618 于 2006-9-15 07:04 PM 编辑 ]

鹤冲天 · 发表于 2006-9-15 19:22:51

天网应该不会，即便是提示也不好判断，名字和端口都是正常的，如何判断！！？？
风云是用特征码来判断的，估计是特征玛有问题！！

xdg3669 · 发表于 2006-9-15 19:36:51

哗！这样高档的墙也倒了？我的没墙啊！

[ 本帖最后由 xdg3669 于 2006-9-15 07:40 PM 编辑 ]

鹤冲天 · 发表于 2006-9-16 21:03:27

把帖子发到风云论坛了，管理员说可能是误报！
希望他们能尽快查清！

6618 · 发表于 2006-9-17 18:19:59

多谢反馈，顶一帖。

鹤冲天 · 发表于 2006-9-18 01:24:36

还没有正式的说法！！在不行就M他们的管理员，看看，如果是误报，对他们来说也是也是个BUG嘛，也应该尽快修改使程序更加完善啊！

		自动登录	找回密码
密码			注册