QVM杀，沙箱防住，重测主防拦截了

leisong

http://bbs.kafan.cn/thread-1074958-1-1.html

QVM杀，沙箱防住，本来用户也运行不起来，但我们对技术产品的纯主防有更高的要求，因为假设高手连云QVM都免杀掉了，看看立体防御的最后一环主防的表现，刚才RP问题，主防防住了


2011-9-8 10:59:17    创建文件    允许
进程: e:\应用软件\病毒\videos11.avi.exe
目标: C:\Documents and Settings\Administrator\2871610033.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-9-8 10:59:22    创建新进程    允许
进程: e:\应用软件\病毒\videos11.avi.exe
目标: c:\windows\system32\cmd.exe
命令行: cMd.exE /c REG ADD HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v 2871610033 /t REG_SZ /d "%userprofile%\2871610033.exe" /f
规则: [应用程序]*

2011-9-8 10:59:25    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序]*

2011-9-8 10:59:28    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\reg.exe
命令行: REG ADD HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v 2871610033 /t REG_SZ /d "C:\Documents and Settings\Administrator\2871610033.exe" /f
规则: [应用程序]*

2011-9-8 10:59:30    底层键盘操作    允许
进程: c:\windows\system32\conime.exe
规则: [应用程序]*

2011-9-8 10:59:45    修改注册表值    允许
进程: c:\windows\system32\reg.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\2871610033
值: C:\Documents and Settings\Administrator\2871610033.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2011-9-8 10:59:49    删除注册表值    允许
进程: c:\windows\system32\ctfmon.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2011-9-8 11:00:01    创建新进程    阻止
进程: e:\应用软件\病毒\videos11.avi.exe
目标: c:\windows\system32\shutdown.exe
命令行: "C:\WINDOWS\system32\shutdown.exe" /r /f /t 3
规则: [应用程序]*

2011-9-8 11:00:05    创建新进程    允许
进程: e:\应用软件\病毒\videos11.avi.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c del E:\应用软件\病毒\VIDEOS~1.EXE > nul
规则: [应用程序]*

2011-9-8 11:00:13    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: E:\应用软件\病毒\videos11.avi.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

怎么样了

过了好

有技术对抗才能进步,  不可能只是防御技术在提高,   黑客们的攻击技术也在大幅提高

绝对不希望看到360官方的解释是因为BUG所致

FOXFFF

我是来看看这个方法主防是如何应对的...话说主防也不是万能的吧..有些地方还是要考启发以及查杀...不过我倒是希望360的主防能够完美防御这个....

zouguan508

过的好，过的精彩难得啊

楼主重测后，又可以拦截了，诡异的现象

Tron

根本没过

测试关闭QVM后，运行直接拦截写启动项，点阻止后关机，关机后一切正常～

如图

Tron

zouguan508 发表于 2011-9-8 12:18
过的好，过的精彩难得啊

没过啊，精彩个啥。。。。

Tron

FOXFFF 发表于 2011-9-8 12:02
我是来看看这个方法主防是如何应对的...话说主防也不是万能的吧..有些地方还是要考启发以及查杀...不 ...

这个启发已经杀了，主防也能拦截

这种关机系的早已经无压力～

Tron

怎么样了 发表于 2011-9-8 11:30
过了好

有技术对抗才能进步,  不可能只是防御技术在提高,   黑客们的攻击技术也在大幅提高

这个是国外样本，国外杀软主防有压力，360主防无压力

leisong

FOXFFF 发表于 2011-9-8 12:02
我是来看看这个方法主防是如何应对的...话说主防也不是万能的吧..有些地方还是要考启发以及查杀...不 ...

任何防御都不可能是万能的，但云主防是360立体防御中最后一道屏障，也是最强悍的一层，在前面的所有防杀层都被免杀的情况下，就寄望于这最后一道屏障了，所以这段屏障的漏洞越少越好。

通常XX不是万能的被某些其他粉丝（不是指你）用来袒护某安软不思进取的严重的多方面的缺陷

如果是过QVM，就没多大必要专贴反馈，因为不能要求QVM接近100%的鉴定能力，那和误报的平衡有关，但主防我们可以和完全应该要求接近100%的防御能力，因为防重于杀，也因为360和某些国产不同，是追求技术进步的产品。

Tron

换了多台机器试了三次，每次都完美拦截，楼主赶紧修改标题吧