到底算不算病毒？在360眼皮低下过主防【管人说360可以防御，不过63，75楼真相】

郑伟用户

这个是今天卡饭测试包样本，不过我再上一次http://d.1tpan.com/tp0288108040

关键看其中的pb2-14

然后视频地址http://d.1tpan.com/tp1517301964

HIPS的行为

2011-11-24 20:52:35    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\pbo\pb2-14.exe
命令行: "C:\Documents and Settings\Administrator\桌面\PBO\pb2-14.exe"
规则: [应用程序]*

2011-11-24 20:52:39    创建文件    允许
进程: c:\documents and settings\administrator\桌面\pbo\pb2-14.exe
目标: C:\Program Files\PostTip\PostTip.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-11-24 20:52:42    创建文件    允许
进程: c:\documents and settings\administrator\桌面\pbo\pb2-14.exe
目标: C:\Program Files\PostTip\PostTip.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2011-11-24 20:52:46    创建文件    允许
进程: c:\documents and settings\administrator\桌面\pbo\pb2-14.exe
目标: C:\Program Files\PostTip\uninstall.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-11-24 20:52:57    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\pbo\pb2-14.exe
目标: c:\windows\system32\regsvr32.exe
命令行: regsvr32 /s "C:\Program Files\PostTip\PostTip.dll"
规则: [应用程序]*

2011-11-24 20:53:02    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\pbo\pb2-14.exe
目标: c:\program files\posttip\posttip.exe
命令行: "C:\Program Files\PostTip\PostTip.exe"
规则: [应用程序]*

2011-11-24 20:53:07    访问网络    阻止
进程: c:\documents and settings\administrator\桌面\pbo\pb2-14.exe
目标: TCP [本机 : 1081] ->  [180.71.56.227 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-11-24 20:53:11    修改注册表值    阻止
进程: c:\program files\posttip\posttip.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PostTip
值: C:\Program Files\PostTip\PostTip.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2011-11-24 20:53:17    创建文件    允许
进程: c:\documents and settings\administrator\桌面\pbo\pb2-14.exe
目标: C:\DelUS.bat
规则: [文件]?:\

2011-11-24 20:53:21    创建新进程    允许
进程: c:\program files\posttip\posttip.exe
目标: c:\windows\system32\regsvr32.exe
命令行: regsvr32 /s "C:\Program Files\PostTip\PostTip.dll"
规则: [应用程序]*

2011-11-24 20:53:59    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\pbo\pb2-14.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c \DelUS.bat
规则: [应用程序]*

2011-11-24 20:54:01    访问网络    阻止
进程: c:\program files\posttip\posttip.exe
目标: TCP [本机 : 1082] ->  [180.71.56.227 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-11-24 20:54:28    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序]*

2011-11-24 20:54:33    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\PBO\pb2-14.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-11-24 20:54:35    修改注册表值    阻止
进程: c:\program files\posttip\posttip.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PostTip
值: C:\Program Files\PostTip\PostTip.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2011-11-24 20:54:41    底层键盘操作    阻止
进程: c:\windows\system32\conime.exe
规则: [应用程序]*

2011-11-24 20:54:44    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: C:\DelUS.bat
规则: [文件]?:\

2011-11-24 20:54:57    结束其他进程    阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\conime.exe
规则: [应用程序]*

2011-11-24 20:54:58    底层键盘操作    阻止
进程: c:\windows\system32\conime.exe
规则: [应用程序]*

2011-11-24 20:55:14    修改注册表值    阻止
进程: c:\program files\posttip\posttip.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PostTip
值: C:\Program Files\PostTip\PostTip.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

这一点我想说，测试归测试，与实际应用时有相当差别的，比如通过这样视频测试说明，单蹦360卫士的危险性----为什么这样说呢，别说下载保护要报，过下载保护的方式最简单 ，而且这个到底是不是恶意程序？会让用户摸不着头脑的【也可以假想到360用户中毒原因】这个有360官人自己去判断吧。360应以为荣的就是这个宇宙第一主防了，我都欣赏。不过这个测试可不如所愿------解压之后，直接运行样本，样本的一切动作全部放过【看视频】，运行完之后，扫描一下都可以杀掉。为什么？这里就有一问题了-----样本已经过主防，用户危害已经造成，这时候杀掉已经是时候诸葛亮了，还不如你的云就不能识别【最多用户说这款软件真垃圾，病毒都不认识】，说道这里，官人和粉们可以随便喷我哈，像360这样的测试方式整天100%的测试结果会害死人的，不知道以前的测试样本中会有多少真正可以为用户拦截的，又有多少圆形都不拦截的，这点真需要怀疑了......

不过MJ脸皮是相当厚实，1个小时后测试人给上拦截截图。而过主防视频在无视中，不知道下载了视频的人作何感想，而且估计MJ还在为自己的小把戏庆幸呢

在这里也就说明一点卡饭的测试方式的不足，希望以后别只当扫描党，所有样本全部直接双击看拦截成功率，这样才有意义也接近于现实中的普通用户方式，要么就装一款杀软千万别单蹦卫士之类，别像这样扫描识别了，但是运行拦不住。

尘梦幽然

作为诺顿用户，同意以上的观点。毕竟我的Symantec是靠防护吃饭的。

郑伟用户

5234377 发表于 2011-11-24 22:09
作为诺顿用户，同意以上的观点。毕竟我的Symantec是靠防护吃饭的。

恩，如果360这样多次出现这种错误【因为以前就有，而且不在少数】，这种情况就可以叫做中看不中用了，只是测试的浮夸而已

尘梦幽然

郑伟用户 发表于 2011-11-24 22:12
恩，如果360这样多次出现这种错误【因为以前就有，而且不在少数】，这种情况就可以叫做中看不中用了，只是 ...

其实像铁壳那样只重防御的也很病态。现在弄得我都不敢相信铁壳的扫描结果了呵呵。不过，您用的只是360卫士而不是杀毒。其实用杀毒效果会好些。

郑伟用户

5234377 发表于 2011-11-24 22:18
其实像铁壳那样只重防御的也很病态。现在弄得我都不敢相信铁壳的扫描结果了呵呵。不过，您用的只是360卫士 ...

恩如果防杀不一致，确实让我们这些小白用户无存判断

尘梦幽然

郑伟用户 发表于 2011-11-24 22:20
恩如果防杀不一致，确实让我们这些小白用户无存判断

= =我浅读杀毒领域这么多年，基本下载到硬盘上的我能看见的我一眼就能辨别是不是毒，或者上传VirusTotal，所以，本地鉴别对我不是问题。所以我才用诺顿的。要是小白的话，我倒是建议用360杀毒。因为查杀强，小白的话基本就是下载些游戏、A片什么中毒，所以边界防御对他们不重要，重要的是本地防御。本地防御的代价就是一定要有第一个牺牲者出现才会有解决方案。不过，正常使用的话，第一个吃螃蟹的几率也太小了、所以，360在国内的策略其实很对，因为国内用户大多比较小白

ADSLgg

本来纯扫买就不靠谱

Tron

郑伟用户 发表于 2011-11-24 22:20
恩如果防杀不一致，确实让我们这些小白用户无存判断

别扯了，这个14号主防100%秒杀，而且绝对不是入库，管你怎么免杀都拦截。

郑伟用户

Tron 发表于 2011-11-24 22:29
别扯了，这个14号主防100%秒杀，而且绝对不是入库，管你怎么免杀都拦截。

扯？视频在那里放着，样本我都丝毫没改动，双击直接过，自己去看吧，还用免杀，开什么玩笑。

夜ㄝ殇

LZ淡定，其实标题不要那么惹眼，容易招来很多口水和攻击，，多督促下毒霸还是必须滴。。