阁笔趣>忍界忍术大师 > 第27章 对抗幻术防火墙(第3页)
第27章 对抗幻术防火墙(第3页)
这个位置不对!
“这不对!真正的svchost。exe应该在system32目录下!”
弘树虽然不记得自己的这个金手指里有system32,但他隱约记得,自己的系统是没有32位和64位的区別,对应的名称叫system(amp;gt;^w^amp;lt;),是一个哈基米的头像標识!
这是一个偽装成系统文件的病毒文件!
弘树迅速切换到进程的“详细信息”標籤页。
果然,描述栏一片空白,版本信息显示为“无”,最关键的是——数字签名状態显示为“未验证”。
“进程偽装!”弘树瞬间明白了对方的第二轮攻击手段。
大蛇丸放弃了直接注入完整的幻术程序,而是让恶意程序偽装成系统进程,试图矇混过关!
幻术也可以做到如此地步吗!?哈基蛇,你究竟是怎么做到的!?
弘树没有犹豫,立刻修改防火墙的代码,添加了新的检测规则:
——代码——
@关闭回显
::新增进程偽装检测
设置系统进程列表=“svchost。exe,winlogon。exe,csrss。exe“
设置合法路径=“c:windowssystem(amp;gt;^w^amp;lt;)“
:扫描进程
::使用“任务列表”命令获取当前所有进程的详细信息
任务列表vamp;gt;进程快照。tmp
::逐个检查列表中的系统进程
为%%进程名在(%系统进程列表%)做(
查找字符串“%%进程名“进程快照。tmp|查找字符串v“%合法路径%“amp;gt;偽装进程。tmp
如果文件存在偽装进程。tmp(
::从偽装进程文件中提取进程id並结束它
为f“令牌=2“%%进程id在(偽装进程。tmp)做(
任务管理器强制结束进程id%%进程id
记录日誌“检测到恶意偽装並已清除:%%进程名“
)
)
)
::內存保护模式
:监控內存
如果检测到外部写入(视觉缓存)(
如果来源不等於“弘树_本体系统“(
拦截写入操作
记录日誌“阻止非法內存写入:视觉缓存区域“
完结热门小说推荐
![[快穿]COS拯救世界 完结+番外](/img/7215.jpg)
