procmon 可以监控 360 百毒 在读哪些文件

想开个虚拟机试试

360不会检查到procmon就自动收敛？

是不是和glasswire差不多？

来个测评哈哈

360 百毒估计检测到procmon会牙狠狠地强制“毒杀”。

@yakczh 看不了，换图床

short.c
#include <stdio.h>

int main(void){

short i;

int j;
long k;

printf("\n %d %d %d ",sizeof(i),sizeof(j),sizeof(k));

return 0;



}
http://hiphotos.baidu.com/yakczh/pic/item/40b117b3b88606d5d8335a91.jpg

@hjc4869 现在都是驱动级，个人感觉略困难。。

国产软件早就有这种功能了
检测到 IDA OD 之类的软件
还有 Wireshark 之类的软件全部自动收敛

@typcn re
大约一年多以前，我用wireshark分别在虚拟机本机 和 虚拟机对应的宿主机 上面运行wireshark抓过包（其实本意是干另外一件事情的……）

却意外发现虚拟机中的某数字软件在wireshark运行后，立刻就安静了%……%
其各路表现，在跟只在宿主机上抓包后得到的结果，真的就是判若两软。。。。

PS，意外发现是，某T厂的王牌软件还是一直向某ip发送加密数据，连DNS都省了呢，发送内容不详，当时很懒，就懒得去猜了。。。。

@mcone 注册了号想问问，这个虚拟机抓包具体怎么做……

是在虚拟机里装数字/T厂的东西，然后虚拟机和主机分别抓么

tcpdump

@Xinyano 虚拟机中装那些软件。然后虚拟机和宿主机都装wireshark
然后针对链接虚拟机和宿主机的网卡（我用的是VM，一般是Vmnet1或8） 分别只开虚拟机和只开宿主机wireshark抓。wireshark在抓包的时候，是可以针对某网卡的进行的

现在不知道那些流氓软件的机制改了没，不作保证