查看: 5384|回复: 41
收起左侧

[讨论] 毒霸+360卫士似乎无冲突---以及干掉毒霸的一个样本---以及毒霸对大文件通拦为网购木马

  [复制链接]
leisong
发表于 2011-6-19 14:49:21 | 显示全部楼层 |阅读模式
本帖最后由 leisong 于 2011-6-19 14:57 编辑

只是如实反映测试中遇到的一些问题,所以主题较乱,一开始并没有想到是这个主题,测到哪说哪。

1、组合似乎无冲突,当然或许是因为各人环境不一样。粗浅测试,结果仅供参考,以自己的实际情况为准。
无聊测试了毒霸+360卫士,是否有传说中的重大冲突,结果360的驱动防火墙正常发挥,完美阻止XUETR加载驱动,不知冲突从何谈起,或许各人环境不一。测试过程中,毒霸和360均完好拦截及监控病毒,粗浅测试,未看到冲突。

毒霸监控非常灵敏,解压时打开文件夹查看,文件都未写入就被毒霸的标准监控全部拦截,而360杀毒(卫士无写入监控就不说了)要等文件写入后一边弹框一边删除,能看到文件一批批被删;且毒霸只一个弹框完成整批监控动作,只一会儿就全部完成,360要忽悠忽悠一个个逐个慢慢弹框,即便整合了红伞引擎的那个版本也是如此,只是改善了好多。这一点,毒霸做的好很多。
当然,360杀毒引擎只是弹框滞后,实际已经阻止读取和运行,或许这是BD引擎特色。



2、http://bbs.kafan.cn/thread-1009769-3-1.html,此样本的一个衍生物S.EXE干掉毒霸。毒霸下载保护报毒,360报安全,然而打开一看,里面套的第二层压缩包后缀竟然是RARA,这是将这个压缩包以特征码入库了。
解压运行,,包括我收集的其它网购木马,毒霸总能拦截到网购木马,遂感觉好奇,有些毒霸扫描不报毒也可以这样拦截,对这种拦截机制甚感好奇。
允许运行,该样本在C:\Documents and Settings\Administrator\My Documents\taobao下解压出一个S.EXE,运行该S.EXE,毒霸依然可以拦截到网购木马要运行,允许后毒霸被干掉,反复运行可以重现。该样本可以被云鉴定为毒。
有人要说了,都拦截了,你还允许?我测的是毒霸主防,且接着往下看。




3、将毒霸安装包增大到100多M,运行,被拦截为网购木马,允许运行,提示安装包损坏,继续安装,可以完好安装无碍。
原来毒霸将一定体积之上的大文件统统拦截为网购木马以增大对此类木马的拦截能力。





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +50 收起 理由
皇甫暮云 + 50 版区有你更精彩: )

查看全部评分

绅博周幸
发表于 2011-6-19 14:55:39 | 显示全部楼层
这个样本也说明某些人将毒霸云鉴定说成是多引擎鉴定的说法是无依据的,多引擎全部没识别出来,毒霸云端却可以鉴定出来,这怎么能说毒霸云端就是靠多引擎来鉴定未知样本?某些人可以醒醒了
jefffire
头像被屏蔽
发表于 2011-6-19 14:57:19 | 显示全部楼层
本帖最后由 jefffire 于 2011-6-19 15:11 编辑

大文件启发。应该是杀的垃圾数据段,也有可能是类似于检测压缩炸弹的方式。
insight
发表于 2011-6-19 14:57:31 来自手机 | 显示全部楼层
启发式拦截是基于对文件特征的识别。主要是对填充的杂乱代码的检测。并不是对文件体积做的检测。如果真是如此,那么稍大一些的安装包就遭殃了。对于自保那块还有待于本人的测试
绅博周幸
发表于 2011-6-19 14:59:04 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
jefffire
头像被屏蔽
发表于 2011-6-19 14:59:12 | 显示全部楼层
绅博周幸 发表于 2011-6-19 14:55
这个样本也说明某些人将毒霸云鉴定说成是多引擎鉴定的说法是无依据的,多引擎全部没识别出来,毒霸云端却可 ...

你也对金山的自己的引擎太不自信了吧。就算挂一漏万,好歹也能查出点东西来吧。
leisong
 楼主| 发表于 2011-6-19 15:00:10 | 显示全部楼层
如果说是杀的垃圾数据段,那倒不会杀到正常软件
jefffire
头像被屏蔽
发表于 2011-6-19 15:00:22 | 显示全部楼层
本帖最后由 jefffire 于 2011-6-19 15:04 编辑

冲突不是指不能拦截加载驱动,而是加载驱动前的注册表操作不能拦截了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
insight
发表于 2011-6-19 15:03:13 来自手机 | 显示全部楼层
leisong 发表于 2011-6-19 15:00
如果说是杀的垃圾数据段,那倒不会杀到正常软件

你见过正常软件有需要填充垃圾代码来增大体积的必要吗?一般来说,软件体积越小越好反而是他们的追求目标。就这个不符合逻辑
jefffire
头像被屏蔽
发表于 2011-6-19 15:04:38 | 显示全部楼层
本帖最后由 jefffire 于 2011-6-19 15:07 编辑
insight 发表于 2011-6-19 15:03
你见过正常软件有需要填充垃圾代码来增大体积的必要吗?一般来说,软件体积越小越好反而是他们的追求目标 ...


垃圾代码种类太多了,有无穷种可能,任何周期性的数据排列都可以来作为代码,将这个作为启发还是太弱
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 20:54 , Processed in 0.143266 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表