为何对于同样一个病毒，在win7 下 sonar 不报毒，XP 下 sonar却可以报毒呢？？

fzq198776

样本传送门：
http://bbs.kafan.cn/thread-965564-1-1.html
运行后（非特征码查杀），在win7 下 sonar 不报毒，XP 下 sonar却可以报毒，这是为什么？
难道说是 这个病毒在 win7 下 运行的机制不一样？？真是郁闷了。。。谁能给个说法。。。
PS：我不想再换杀软了啊！！

看不到的心痛

会不会系统的环境变量还是什么？在WIN7相对比XP已经是安全多了的

defpt

一看楼主就是喜欢折腾的

皇甫暮云

楼主的win7是32位还是64位？32位和64位本身的病毒库就不一样。另外，不同的OS在病毒定义和sonar规则上也会有区别。在win7上无法造成伤害的病毒，自然没有必要入库。还有：切莫实机试毒.

fzq198776

焉逢 发表于 2011-4-23 06:54
楼主的win7是32位还是64位？32位和64位本身的病毒库就不一样。另外，不同的OS在病毒定义和sonar规则上也会有 ...

win 7 32 位，我是虚拟机中装了 XP ，运行后 sonar 报毒，后来心血来潮，想在 win 7 32 位下试试，于是先用雨过天晴做了个备份，然后实机运行，结果 sonar 毫无反应！！（现在也只是被 特征码扫描查杀了而已）郁闷啊。。。斑竹能不能给俺解释下啊。。。或者您那边也试试，可以安装了 NIS2011 后不更新病毒库 （因为此样本昨晚铁壳已经入库），然后双击运行

PS：此样本 我在 win 7 和 XP 下 用 360 卫士进行测试，发现在两个系统下 360卫士 所拦截的 动作都是一摸一样的，所以我感觉行为应该差不多啊！毕竟这只是一个支付宝钓鱼样本，我估计就是劫持了浏览器而已（猜想，可能不正确，请指正！）！为何 在 win 7 下 sonar 却 不拦截呢 ？？

認真就輸了！

回复 4楼 焉逢 的帖子

用虚拟机测试是不是很安全？不会影响到实机

jefffire

fzq198776 发表于 2011-4-23 08:32
win 7 32 位，我是虚拟机中装了 XP ，运行后 sonar 报毒，后来心血来潮，想在 win 7 32 位下试试，于是先 ...

win7存在UAC，可能会导致样本的一些行为发生改变。

如果一个应用程序试图写入C:\Program Files\Contoso\Settings.ini，并且用户没有权限来对该文件夹进行写入操作，写入操作将会被重定向到C:\Users \Username\AppData\Local\VirtualStore\Program Files\Contoso\settings.ini。如果应用程序试图在注册表中写入HKEY_LOCAL_MACHINE\Software \Contoso\，这将会被自动重定向到HKEY_CURRENT_USER\Software\Classes\VirtualStore \MACHINE\Software\Contoso或HKEY_USERS\UserSID_Classes\VirtualStore \Machine\Software\Contoso。

http://msdn.microsoft.com/zh-cn/library/ee532451.aspx

飘浪

路过学习

hello8888

焉逢 发表于 2011-4-23 06:54
楼主的win7是32位还是64位？32位和64位本身的病毒库就不一样。另外，不同的OS在病毒定义和sonar规则上也会有 ...

諾頓有專門的64位版本麼？？不是32為兼容64嘛？

klinxun

回复 6楼 mc- 的帖子

理论上是，不过现在有些病毒会看看你是不是虚拟机的，如果发现是虚拟机，就不发作。让人在实机中打开才发作。