查看: 26974|回复: 202
收起左侧

[讨论] 22号样本包测试结果,拦截率61%,见192F,目前比微点差的很多,见193F

  [复制链接]
leisong
发表于 2010-5-23 09:57:46 | 显示全部楼层 |阅读模式
本帖最后由 leisong 于 2010-5-27 22:25 编辑

继续测试22号病毒包,这次不扫描了,逐个双击主防,1号样本顺利启动


且已经连接远程端口


过了一会而创建了这2个临时程序,本体进程消失,速度很快来不及截图,这是后来在DW中截到的图,因为DW拦截它们创建服务项,它们留在那里反复重试。


顺利创建了自启动的服务项,前2个临时文件消失


服务项等待连接网络


整个过程360无一个弹框,一系列的木马动作如此的明显,不用比较就能知道微点和TF3档都肯定会拦截,否则岂不是废物
只从这第一个样本就知道360的木马防火墙形同虚设,一系列那么明显的木马动作,且测第二个样本时发现360又被断网了,也不知道是不是上来就被1号样本断掉的。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +40 人气 +1 收起 理由
chow2006 + 40 测试辛苦
wusuwusu + 1 支持测试,鄙视乱喷的

查看全部评分

leisong
 楼主| 发表于 2010-5-23 10:22:39 | 显示全部楼层
本帖最后由 leisong 于 2010-5-23 10:41 编辑

2号样本特征码报警,忽略继续




样本运行只见到这个窗口就消失不见了


用DW运行的记录



果然已调用到系统进程连接了网络


整个过程360的特征码报警了一次,主防无一次拦截。

想起来第一次用5.21样本包检测时,360被断网,打开云查杀看看,果然又被断网了

我已经没信心再测试下去了,上来就被病毒断网了(也不知道是被第一个还是第二个断网的),再说逐个点击样本,一个样本得截很多图(可惜都不是360主防的图)

360的主防不但缺少一个像DW或RTDS或卡巴主防那样的一个清晰的架构(别告诉我360就是要发展纯手动HIPS,不需要学习别的智能HIPS),考虑到易用性,畏首畏尾,不敢增加拦截面。智能HIPS不就是异性用和比较完善规则的平衡体么。

还本末倒置,主防规则放在云端,被断网就成了废物。难道联网的主防弹框就不影响易用性,被断网后弹框就影响易用性了么???这是哪家的道理???唯独360家的道理!!!

据说360很NB,木马都知道针对360,而木马也都知道360被断网就成了废物,于是每个木马上来就断360,于是。。。。。。。。。
下面也就没信心再测下去了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
leisong
 楼主| 发表于 2010-5-23 10:36:36 | 显示全部楼层
本帖最后由 leisong 于 2010-5-23 11:27 编辑

重启电脑测3号样本,为了保证360联网,特启动云查杀和新版本检测,证明360已经正常联网了
3号样本成功拦截驱动




360拦截驱动能力还是很强的,算一个驱动防火墙还是合格的说

再运行一遍,用于判断360是否失效了,依然拦截驱动,证明有效。下面的弹框既有特征码又有“木马企图用力其它程序攻击系统”,好像也算主防,终于成功拦截了一个,还没被断网。


怀疑4号样本和3号是一样的,动作一样,创建的文件还一样


5号样本也一样,同样的内容

这3个样本都出现下面的出错弹框,补上。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
leisong
 楼主| 发表于 2010-5-23 10:37:01 | 显示全部楼层
本帖最后由 leisong 于 2010-5-27 21:26 编辑

6号样本重测,成功清除



但样本都被清除了,进程却留着,略不完美,360清除前不会结束进程么

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
leisong
 楼主| 发表于 2010-5-23 10:38:37 | 显示全部楼层
本帖最后由 leisong 于 2010-5-27 21:35 编辑

7好样本拦截,重复运行7号还是拦截,证明360没有失效。继续8号


8到13号全部拦截,此前测试有误,不知道那种弹框是有主防的且已自动拦截

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
DoctorL
头像被屏蔽
发表于 2010-5-23 10:40:04 | 显示全部楼层
不用比较就能知道微点和TF3档都肯定会拦截

无图无真相!有漏洞可以给人反驳!另外人家可以说你是小众样本,不能说明问题!人家可是98%啊!
爱情好像不爱我
发表于 2010-5-23 10:41:14 | 显示全部楼层
占6楼
DoctorL
头像被屏蔽
发表于 2010-5-23 10:41:20 | 显示全部楼层
把SF/BD/DB/DXS全占了
8684hongchen
头像被屏蔽
发表于 2010-5-23 10:42:39 | 显示全部楼层
楼主小心被360官人说测试方法不对。
8684hongchen
头像被屏蔽
发表于 2010-5-23 10:44:28 | 显示全部楼层
无图无真相!有漏洞可以给人反驳!另外人家可以说你是小众样本,不能说明问题!人家可是98%啊!
DoctorL 发表于 2010-5-23 10:40

具体这句话来自谁的口中?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 16:08 , Processed in 0.115345 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表