答金山官人tiejun问：钓鱼木马演示（附视频）

紫星飘逸

henmy168 发表于 2011-7-19 18:49
关键我说的是，我遇到风险提示了，我不会选择退出杀软，退一步说，有一种情况，如果文件被用户误运行了， ...

退一步说，有一种情况，如果文件被用户误运行了，那么杀软提示你一下这个可能有风险，那么杀软被干掉，系统感染崩溃了，那么杀软就没有责任了吗
HIPS和主防有放行的选项是正常的，毕竟HIPS不是谁都去玩的，也不是谁去玩的都会去定义到每一个规则。
我说的是大多数杀软蛋疼似的提示下用户后，是否就没有责任了的问题，我觉得铁哥说提示了用户有风险了，那么杀软就是成功的这个想法，是不正确的。

支持一下

seehere

leisong 发表于 2011-7-20 13:08
已经回过多少遍了，你记性不太好啊

1、其他杀软遇到未知还有别的防御模块，包括除了金山外的所有中外安 ...

拜托，一种方式也好，多种方式也好，有风险提示仍运行。谁保证不中毒？你能？有点常识好不？

FOXFFF

郑伟用户 发表于 2011-7-20 13:34
那还经典，其实不让运行也对了，这样可以尽量避免损失，如果样本运行了在做对抗，是不是电脑就成战场了？ ...

一个未知就判定为有危害的病毒与木马了么？-，-视频你也看到了，云鉴定抽风了...况且大多数普通用户是没有右键扫描的习惯的，运行了提示未知然后云鉴定...抽风的概率有多大？如果云鉴定给出的答案是安全运行之后病毒的行为一概不提示中毒了...好，中毒了又扫描不出来又怎么办？本地的防御就那么不值得重视么？何况，如果碰到一个几G的文件，毒霸报了未知，然后提示要云鉴定又怎么搞？有谁愿意花时间来上传鉴定？别跟我说不会有那么大的病毒！事实是我在下了个几G的文件后被发现是病毒...

dopod2009

seehere 发表于 2011-7-20 13:42
拜托，一种方式也好，多种方式也好，有风险提示仍运行。谁保证不中毒？你能？有点常识好不？

如果真的是确实提示有病毒运行，那责任肯定是用户自己负责。但是毒霸提示的是未知，未知不等同于病毒或者木马，而云鉴定又抽风无法上传。那么此时你应该怎么操作？删除那个软件还是等待所谓云鉴定？

leisong

seehere 发表于 2011-7-20 13:42
拜托，一种方式也好，多种方式也好，有风险提示仍运行。谁保证不中毒？你能？有点常识好不？

你能正面回答我第一 第二个问题吗？
风险提示？WINDOWS应该加一个开机时的风险提示：开机有中毒风险，责任自负。这样微软就可以撇清漏洞百出的责任。

开机也有风险，不开机绝对不中毒，黑客都无可奈何，算不算风险提示

郑伟用户

dopod2009 发表于 2011-7-20 13:37
现在假设是在断网之后，金山非白即黑。没有经过云鉴定就提示未知，未知这个概念是很模糊的，未知不等于病 ...

样本入侵清渠道无非那么几种1.下载 2.传文件 3.U盘拷东西 4.邮件 5.访问网站 6.看电影听音乐，等等，屈指可数，而毒霸目前需要考虑的就是U盘这个渠道在断网下的策略。而毒霸如果吧全库放到本地也许用户更受不了，太大了，反过来想一下，就算有本地库的杀软在断网下又能怎么样？当紧互联网，木马更新也是非常快的，传冲杀软升不了级一样是悲剧，查杀不到最新样本。所以说不管是哪一家的杀软要想查杀更多的恶意程序，更新的样本，首先就是必须要连接到网络，升级到最新

dopod2009

郑伟用户 发表于 2011-7-20 13:48
样本入侵清渠道无非那么几种1.下载 2.传文件 3.U盘拷东西 4.邮件 5.访问网站 6.看电影听音乐，等等，屈指 ...

现在本地防御一方面依靠特征码进行查杀，不过你不要忘记还有行为分析和启发式防御。抛开断网，你云端分析一个文件需要上传数据，加上我下载一个绿色软件里面包含某些有毒插件。你是不是要解包上传，来回需要多少时间，再者一旦你云端没有相关数据库，你来一个提示未知建议不要运行。那我这个软件还要不要用？

郑伟用户

FOXFFF 发表于 2011-7-20 13:44
一个未知就判定为有危害的病毒与木马了么？-，-视频你也看到了，云鉴定抽风了...况且大多数普通用户是没 ...

抽分了，这个需要他们去改进修正，我这里不探讨，楼主和铁军那些过不过的问题，应为没有杀软是万能的，我只是让大家理解毒霸走运的路线而已。比如我自己的体会，360的主防，微点的主防，都是很优秀的，可过他们的样本不在少数，这些也是我实际使用中的体会，同样过毒霸的也很多，那么在同样保证不了我们100% 的安全的情况下，我们为什么不选择一款对系统兼容性好的呢？这也是我离不开毒霸的原因吧

lxilikepal

郑伟用户 发表于 2011-7-20 13:48
样本入侵清渠道无非那么几种1.下载 2.传文件 3.U盘拷东西 4.邮件 5.访问网站 6.看电影听音乐，等等，屈指 ...

这里讨论的已经不仅仅是U盘防护了。
“断网”包含的意思是很多的，例如用户主动断网，或者被动断网。又比如恶意软件只是阻止了杀软的联网端口等等。“断网”这个词并不是单纯的指一台计算机无法连接网络。
同样的，本地库如果过大，谁都受不了。那么，比较中性的做法就是加入行为分析，对关键位置的操作进行提醒，而不是像现在这样仅仅提示个“未知”，然后运行了，中毒了，就是你用户的责任。在用户看来，仅仅提示个“未知”，然后就不管不问的做法有推卸责任的嫌疑。就像“断网”这个词一样，“未知”不仅仅代表恶意软件，也会代表你不认识的正常软件。如果对文件的判定全都交给用户，那还要你这个安全软件来干嘛？

dopod2009

郑伟用户 发表于 2011-7-20 13:55
抽分了，这个需要他们去改进修正，我这里不探讨，楼主和铁军那些过不过的问题，应为没有杀软是万能的，我 ...

没有谁在强求一款杀软100%的查杀或者防御，现在讨论的关键是到底应不应该加强本地防御。你在使用金山，那么你完全可以测试一下断网下金山的表现