查看: 31787|回复: 241
收起左侧

[讨论] 19号包纯主防拦截率96.67%,对比微点,质疑者请拿病毒分析说话

  [复制链接]
leisong
发表于 2010-8-20 10:04:42 | 显示全部楼层 |阅读模式
本帖最后由 英仔 于 2010.8.21 23:26 编辑

14号样本包,扫描后只剩余1个,查杀率96%,剩余一个无动作自动退出,防御率100%
但是,测试已知样本的主防,有3个样本穿透360,见 http://bbs.kafan.cn/thread-760872-35-1.html  350F,6号和7号击穿启动项拦截,17号破坏注册表编辑器,这3个样本中毒后云查杀都能够查杀和修复。所以14号纯主防拦截率22/25=88%,+云查杀100%

MJ对这3个样本的回复见那个测试帖388F:http://bbs.kafan.cn/thread-760872-39-1.html
6,7号击穿了目前的主防,还是7月的一个老问题,目前修改的版本还在测试中,预计本月内能发布。

351F:拦截破坏行为以后加入


以上至少说明入库后的360也能够做纯主防测试。但不是很确定所有的样本入和不入云库表现都一致。
=====================================================================================

19号样本,击穿360的有:2-2,老问题了,计划任务和开始菜单启动栏拦截不严,其实这2项都有拦截的,但是拦不全。这个老问题在这段时间总是重复出现,望尽快加强拦截,其实开始菜单的启动栏普通用户很少用到,现在连个播放器都可设置开机启动,那个地方反而成了病毒的温床。

其中1-4因为弹了几个框后重启,重启后结果未知。
再次建议加入拦截重启/关机选项,可设置为手动选择。越来越多的病毒会重启干坏事。

19号病毒主防拦截率96.67%或93.33%(假设1-4重启后穿透了360)

====================================================================================
建议总结:1、开始菜单的启动栏应拦截一切写入,普通用户基本用不到;计划任务加强拦截

2、拦截调用重启/关机命令,正常安装包的重启操作普通用户都看得懂,如果360始终留着这个机会给木马,在360的拦截点越来越周密、漏洞越来越少的情况下,估计以后木马越来越多的借重启试着穿360,尽管拦截重启前的所有危害操作也可以防,但是防不胜防,为什么就不要防这个呢?

   设为手动可选,默认不拦截,不矛盾吧。
===================================================================================

PS:一点感想:不知某些人上论坛是干嘛来的,首先不应该是来谈道德的,因为这是安软论坛,再说就算谈论道德,360以精益求精的技术作品免费给大家用,打破了过去圈钱、暴利的格局,在道德上何以被一些人反而认为输了??????360在版本上的更新和纠正BUG/漏洞的速度有目共睹。如果非要站在360竞争对手的角度考虑问题,体恤竞争对手们的种种难处,不把自己当作普通用户,那么这是你们的自由,继续以这种莫名其妙的“道德”口水掉整个论坛。

评分

参与人数 6经验 +5 人气 +5 收起 理由
大漠胡杨 + 1 360以精益求精的技术作品免费给大家用,打破 ...
wyf280437341 + 1 支持楼主测试,辛苦了,你的测试使360一直在 ...
英仔 + 5 加分鼓励
heaven888 + 1 版区有你更精彩: )
jefffire + 1 360区为数不多能看看的帖子

查看全部评分

leisong
 楼主| 发表于 2010-8-20 10:06:43 | 显示全部楼层
下面开测19号样本的纯主防测试,360为今天才下载的7.3.01010E
1-1号老样本了,运行前就知道什么样了,联了一会儿网后无流量,自杀自动退出
leisong
 楼主| 发表于 2010-8-20 10:18:31 | 显示全部楼层
本帖最后由 leisong 于 2010.8.20 10:23 编辑

1-2老朋友了,FAKE AV,最后只残余FAKE AV进程,但所有操作均被阻止,结束之OK

木马本体入库并没有阻挡它释放衍生物,也未能阻挡衍生物的动作,有衍生物的纯主防弹框。所以该穿的还会穿。
leisong
 楼主| 发表于 2010-8-20 10:41:22 | 显示全部楼层
1-3报毒,但在报毒前就自动阻止了病毒注册启动项
leisong
 楼主| 发表于 2010-8-20 11:25:48 | 显示全部楼层
本帖最后由 leisong 于 2010.8.20 16:06 编辑

1-4弹了几个框后重启,入库不能阻挡病毒的重启动作,影子系统重启后结果未知。
再次建议加入拦截重启/关机选项,可设置为手动选择。越来越多的病毒会重启

感谢jinzijie的复测,由于重启前360已全部拦截木马的动作,所以拦截成功。

不过还是建议加入拦截调用重启/关机命令,因为如果结合2-2那个启动项拦截的漏洞,那么重启后病毒将成功运行。
leisong
 楼主| 发表于 2010-8-20 11:30:48 | 显示全部楼层
1-5有自动允许修改网络设置,未见不良后果
leisong
 楼主| 发表于 2010-8-20 11:37:04 | 显示全部楼层
本帖最后由 leisong 于 2010.8.20 11:39 编辑

1-6 1-7  1-8 1-11和1-1一样,样本属性也一样,自杀自动退出
leisong
 楼主| 发表于 2010-8-20 12:42:54 | 显示全部楼层
本帖最后由 leisong 于 2010.8.20 14:36 编辑

1-9也是老朋友了,疯狂修改系统和修改桌面快捷方式(被桌面图标保护拦截并修复),为何图标保护不直接阻止修改快捷方式,而是弹框修复?或许怕误拦。
leisong
 楼主| 发表于 2010-8-20 13:07:51 | 显示全部楼层
1-10最后只被自动允许了一个广告插件
leisong
 楼主| 发表于 2010-8-20 13:12:27 | 显示全部楼层
1-12自动拦截
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 04:04 , Processed in 0.109550 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表