昨天“ K+2.0也不怎么样嘛，毒霸2012 SP2防不住…”帖子中样本的有趣测试

yhys

原帖地址
http://bbs.kafan.cn/thread-1113923-1-1.html
http://bbs.kafan.cn/thread-1113798-1-1.html

=======================================

虚拟机win7 32位，毒霸sp2最新版测试，当时样本（ZeroAccess）云鉴定为“已知安全文件”，联网运行毒霸没有任何提示，windows防火墙提示explorer联网（注入了explorer），然后毒霸就挂了，无法查杀，不久监控也不能开启。

云鉴定安全，可能导致金山的行为防御全部放过，所以又断网试了一下，结果断网下注入没有拦截，但是拦截了利用explorer加载驱动



然后毒霸没有挂

系统防御日志：
拦截驱动


自保


==============================================

提示病毒



然后联网查杀：




查杀之后重启，用xuetr查看：



不过查看进程并没有病毒进程，powertool也看不到病毒进程（都是最新版），磁盘读写系统驱动感染DCP定时器等也正常。
xuetr查看到一个被感染的驱动



毒霸手动扫描这个驱动文件报毒，也不知道联网查杀干什么去了。。
实验不止一次，有点乱，另一次是afd.sys，替换可以解决，怎样处理不是重点，不过病毒基本是废品。

以上实验说明断网有时候比联网更安全


============================================

============================================

现在病毒已经入库，运行直接删除。



还原，设置为信任，再次运行





允许




仍然成功防御。

=======================================

=======================================

用MD5修改器修改样本，云鉴定转人工
在沙箱中运行



这个结果很无语，在本地的沙箱中运行都提示释放病毒文件,云鉴定居然转人工（当初云鉴定为安全时沙箱运行也是这个结果，没截图）


========================================


直接运行
拦截注入：





删除衍生物





完美防御

编辑帖子的时候鉴定结果出来了



云鉴定

轻巧夺命

看来毒霸的主防策略需要改进了。

绅博周幸

都入库了还谈什么呀，总体来说还是事后吃药，牺牲了第一批用户, 这还叫主动防御？被动防御还差不多。

yhys

绅博周幸 发表于 2011-10-25 09:37
都入库了还谈什么呀，总体来说还是事后吃药，牺牲了第一批用户, 这还叫主动防御？被动防御还差不多。

我又没说毒霸可以防，这个测试只不过是测毒霸在几种不同情况下的表现而已，而且这种表现也确实比较有趣吧。再说测试的前两部分都是没入库的情况。

缘木求鱼me

这个……

梦幻舞步

断网有时更安全，看来毒霸的内置逻辑有时候需要改进。要是毒霸本地的蓝芯引擎能在下个版本有大的提高就好了

insight

断网下注入当然是不拦截的。如果未知毒霸应该可以完全拦截

julia跺跺

一开始是考虑每次运行都主防机制干预会影响系统速度 可现在看来是原策略并不是很安全 为了安全 牺牲点性能那又怎么样呢 是吧 再说了 K+干预也不会卡的么

yhys

insight 发表于 2011-10-25 10:47
断网下注入当然是不拦截的。如果未知毒霸应该可以完全拦截

又改成未知测试了一遍。

yyyyhh123

很重要的问题是   K+跟着云坚定走。。。