第一次知道网盾、主防、保镖之间的联动，以及对该样本主防2.0防御效果的质疑，期待3.0

leisong

利用白文件加载病毒DLL真是防不胜防，http://bbs.kafan.cn/thread-1223288-1-1.html，此帖中的样本，修改那个DLL文件后需要重新下载、解压、运行一系列的动作网购保镖和主防才拦截（需要关闭云QVM测试）。防御逻辑也是有道理的，因为网购木马确实需要下载或传输才得来。我们讨论的是另一个问题，拦截就真的防住了么？

保镖拦截，拦截的是未知DLL，第一次见到，很精彩，注意要和网盾的下载保护联动才有如此强度的拦截，第一次见到


为测试主防，先保镖放行，主防拦截



拦截后残余进程如下——这是360主防一直以来的老问题了，其实也是HIPS单步拦截的特点。


我们再看下所拦截的启动项是什么，就是被利用的好压白文件复制过去的同一个文件


再看该EXE运行后加载的DLL文件，就是那个病毒DLL同一个文件复制过去的。


也就是说病毒的启动项如果没拦截的话，下次开机所启动的病毒DLL文件和残余进程中的DLL是同一个，也是真正发挥病毒作用的程序——主防拦截后一直残留在内存中，也就是说病毒实际也不是太需要自启动了，只要发挥一次作用就行了，依用户实际操作逻辑，从接受文件到被骗子引导操作网银或需要盗号的软件，一般都在重启电脑之前，那么接下来病毒真正的盗号行为或劫持网银支付行为360 2.0主防真的可以拦截么？2.0主防其实没有防键盘记录，防网银支付劫持据测试也很有限，所以防御效果很悬，供大家参考！

那么强烈期待主防3.0能有更精彩的表现！期待中。。。。。。。。。。。。。。。。。。

-oAo-

担心有道理

leisong

-oAo- 发表于 2012-2-14 14:35
担心有道理

是嘛。我以为担心某个对新型威胁早已无力更新的主防更有道理的说。
因为主防也是需要应对新型攻击方式而更新的，就如利用白文件加载病毒DLL的攻击方式。
几年不更新的主防你认为真的还有用。

Tron

主防拦截一直残留在内存中，也就是说病毒实际也不是太需要自启动了，只要发挥一次作用就行了

===

这个不用担心，网盾有依靠主防的网页防劫持技术，可以拦截

另外，如果用户是先接受到木马，再运行，再进行网购，此时网购模式就直接把这个实物图清除掉了。

huyu8609

Tron 发表于 2012-2-14 14:39
主防拦截一直残留在内存中，也就是说病毒实际也不是太需要自启动了，只要发挥一次作用就行了

===

情人节 快乐   ，感谢解答！

leisong

Tron 发表于 2012-2-14 14:39
主防拦截一直残留在内存中，也就是说病毒实际也不是太需要自启动了，只要发挥一次作用就行了

===

确实可以

-oAo-

leisong 发表于 2012-2-14 14:39
是嘛。我以为担心某个对新型威胁早已无力更新的主防更有道理的说。
因为主防也是需要应对新型攻击方式而 ...

杀软和病毒是矛盾中发展的

billgates1996

leisong伯伯

leisong

-oAo- 发表于 2012-2-14 14:44
杀软和病毒是矛盾中发展的

是啊。居然你也明白这个道理。安软和病毒总是在互相攻防中不断进步的，主防也不例外，只是主防相对于特征码相对的以静制动，但不是绝对的几年不更新还可以以静制动。
所以光病毒在发展，安软（含主防类）如果静止不动，早被病毒抛到九霄云外去了。

-oAo-

leisong 发表于 2012-2-14 14:47
是啊。居然你也明白这个道理。安软和病毒总是在互相攻防中不断进步的，主防也不例外，只是主防相对于特 ...

安软也不会原地踏步的