查看: 7365|回复: 14
收起左侧

[讨论] 大蜘蛛的DPH对战wanna失守了+诺顿的SONAR断网完蛋

[复制链接]
驭龙
发表于 2017-5-14 18:08:28 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2017-5-14 18:26 编辑

今天无聊,所以测了两个软件的双击玩法,仅供参考,因为只是粗略的玩一下,测试方法和环境已经说明了

别的测试已经证明DrWeb的启发杀wanna,所以我用2016 11月的特征库大蜘蛛,关闭文件监控下联网双击wanna
特征库日期关闭Spider Guard监控


识别启动项添加,我选择阻止(自定义开启的启动项询问)


防火墙的各种询问我全部选择阻止,但系统还是被加密,DPH没有发挥效果


Spider Guard关闭,所以启发并不会发威


系统彻底被加密,DrWeb的DrWeb Process Heuristic真的是需要新特征库才能发挥最大的效果,单单联网是不行了


补一张启发杀,也就是说不关闭监控的情况下,DrWeb 使用半年前的特征库就能杀这次的wanna


其实我想说的是这种测试就是玩,来看看能不能提前防御wanna而已,事实上12号晚上大部分安软已经拉黑和入库威胁,因此普通用户中招的概率并不高,再加上个人用户大多数有路由器,所以wanna并不容易侵入,大家也不必太恐慌。

PS:2楼的诺顿就是很好的例子,联网的话,根本无惧wanna,更何况诺顿的IPS早就封堵了永恒之蓝这个漏洞了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
houtiancheng + 1 版区有你更精彩: )

查看全部评分

驭龙
 楼主| 发表于 2017-5-14 18:12:29 | 显示全部楼层
玩一下双击,Windows 7 X32系统,NS 22.8 SONAR 11版本引擎 SDS特征库是1月24日的

测试方法为断网双击,确实是被过,文件被加密,不过文件加密以后重新联网,NS开始发威。

各种杀


各种回滚


  

SONAR各种杀




SDS特征库日期。



其中还出现过C杀和Reputation 1杀,但文件还是被加密,没有被回滚。

也就是说完全断网的环境中NS无法防御这个威胁,只要联网,中招的可能性微乎其微,因为从SONAR的报毒名看并不是与云库联动的报法

看来NS的SONAR断网真的会GG了,如果网络不稳定,不推荐使用NS
houtiancheng
发表于 2017-5-14 18:16:09 | 显示全部楼层
赞一个,主防也需要及时的特征更新才能达到最好效果~
驭龙
 楼主| 发表于 2017-5-14 18:23:01 | 显示全部楼层
houtiancheng 发表于 2017-5-14 18:16
赞一个,主防也需要及时的特征更新才能达到最好效果~

是啊,主防也需要经常更新才能发挥好效果,有时候对付未知威胁,主防有时候也是力不从心,所以启发 主防 云杀 网络防御多重防御的安全软件才能可靠一些
lzswwslz126
发表于 2017-5-14 18:39:07 | 显示全部楼层
所以无需太担心了 不联网基本不会有中病毒发风险 除了u盘
联网的话安软的云响应还是挺快的  大厂的安软+uac+系统防火墙+及时打补丁就好了
有重要资料的记得备份
浪剑飞舟
发表于 2017-5-14 18:55:05 | 显示全部楼层
反正能更新的全更新,能装的全装上。
我20G学习资料的种子可不能出问题啊
wjcharles
发表于 2017-5-14 19:13:29 | 显示全部楼层
驭龙 发表于 2017-5-14 18:12
玩一下双击,Windows 7 X32系统,NS 22.8 SONAR 11版本引擎 SDS特征库是1月24日的

测试方法为断网双击 ...

这回是通过内网传播的,跟直接本地双击可能会有些区别。。。在断网情况下,传播和漏洞利用这一步,ips和sonar会不会拦截用以前的库的话~
驭龙
 楼主| 发表于 2017-5-14 19:23:49 | 显示全部楼层
wjcharles 发表于 2017-5-14 19:13
这回是通过内网传播的,跟直接本地双击可能会有些区别。。。在断网情况下,传播和漏洞利用这一步,ips和s ...

我在Symantec区发了帖子,IPS完全可以拦截的,所以不需要担心,但需要四月份的IPS库才可以,如果完美防御需要5 12日的IPS库才可以。
ccboxes
发表于 2017-5-14 19:23:50 | 显示全部楼层
houtiancheng 发表于 2017-5-14 18:16
赞一个,主防也需要及时的特征更新才能达到最好效果~

请问SB是否有实时监控,可以自动入沙吗?
nonote
头像被屏蔽
发表于 2017-5-14 19:32:47 | 显示全部楼层
不知道sep的暗网客户端断网情况下防御怎么样?暗网客户端不就是断网专用么
还有,万物杀是什么意思?误杀?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 10:07 , Processed in 0.142131 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表