关于“帅帅”对Z龙说的MSE监控机制质疑的一些解释与测试【仅供参考】

驭龙

帅就是帅 发表于 2011-9-23 21:29
看来EICAR测试代码的用处不是那么清楚，非技术类的，我可以道歉，但关乎事实以及会员的安全，我没法让步 ...

如果是正常的讨论，非不友善的讨论，我可以跟你继续讨论，我们的华山论剑还没完。呵呵。

我没有看你的视频，因为跟我对你的疑问没有关系。

我对你的测试有两个疑问：

① 你27楼的测试是在EICAR的代码中加入其他字符，对吧？那我想问的是你为何是说推翻我的测试，诺顿不报你的EICAR代码是你在其中加入其它字符的原因，而我在1楼的测试中全部使用EICAR的源码，只要把MSE的功能全开，MSE自然会报，那你拿加入其它字符的EICAR做测试，安软不报很正常，你何以推翻我用EICAR源码的测试？

② 我说下一代MSE监控机制改变，不是我说的，而是Windows 8 开发者预览版内置的Windows Defender已经改变，你如何否决，你否决我没有问题，因为我很菜。但是，难道你可以否决Microsoft官方博客的内容？

In addition, Windows Defender will now provide you with real-time detection and protection from malware threats using a file system filter, and will interface with Windows secured boot, another new Window 8 protection feature.

你自己看原文吧
http://blogs.msdn.com/b/b8/archi ... u-from-malware.aspx

Windows Defender都采用文件系统筛选器，进行实时监控。下一代MSE就不能吗？

PS：注意情绪，不要太激动，我的言语没有过激，我希望你也不要哦，不然我就讨论了。

帅就是帅

zdshsls 发表于 2011-9-24 12:49
如果是正常的讨论，非不友善的讨论，我可以跟你继续讨论，我们的华山论剑还没完。呵呵。

我没有看你的 ...

关于①排除explorer②排除进程与监控的关系还尚未解释，我的问题还没回应，还拿其他的问题一个一个砸过来了。。。

关于你的疑问：
1. 按照你的逻辑
1.1如果诺顿真正基于硬盘监控，只要文本文档含有这部分代码，属于包含恶意威胁，诺顿就应该报。
难道非要全部都是纯恶意代码吗？那病毒感染exe后，该exe可不全部都是恶意代码。
不信？OK，第三个试验，用个简单的例子：
请把如下代码保存在txt文档中，看你的诺顿报没报：

1. <html><script language="JavaScript">window.open("readme.eml", null,"resizable=no,top=6000,left=6000")</script></html>

复制代码

再把如下代码保存在txt文档中，看你的诺顿报没报：

1. 今天我们测试如下代码：
   
2. <html><script language="JavaScript">window.open("readme.eml", null,"resizable=no,top=6000,left=6000")</script></html>

复制代码

怎么样？是不是两次都报了？和我加入不加入其他字符无关。加入其他字符安软不报很正常？如果这样木马制造者太高兴了，免杀有啥难的？会打字就可以了！

我觉得我都讲到1+1=2了，如果你问我为什么等于2，那我真黔驴技穷，到此任何一个围观的人应该都看得懂吧。

1.2 视频你看了第二个试验了吗，该恶意代码保存在doc文档的试验看了吗，就算是纯EICAR代码，保存在doc中，不加入字符，你的诺顿报了吗？
没有报吧。


2 关于你所谓的官方文档

也许有天你作为一个厂商工作人员，或随便其他一个公司的类似职务就明白了。不想解释了，厂商不少工作人员的水平并不比卡饭的一些会员高，也有好的技术人员，比如我需给你展示我们的产品功能，简单说采用了基于系统声纳自学习API过滤技术blablabla，但我不会告诉你说白了就是个虚拟机一样。

顺便PS一下，所谓的文件系统过滤，MSE1.0就有，其他一些我们常鄙视的鸡肋杀软也有

驭龙

帅就是帅 发表于 2011-9-24 13:53
关于①排除explorer②排除进程与监控的关系还尚未解释，我的问题还没回应，还拿其他的问题一个一个砸过 ...

现在我们讨论EICAR代码的问题，你不就是想否认我1L的测试，对吧，OK，那我现在不跟你讨论别的，还是①和②的问题，但我现在没有时间，我过几天重新测试。

你说微软博客的那个人技术不行，可人家的资料真的让我佩服。
http://en.wikipedia.org/wiki/Steven_Sinofsky

过几天我不是很忙的时候，我们继续交流，OK

帅就是帅

zdshsls 发表于 2011-9-24 16:25
现在我们讨论EICAR代码的问题，你不就是想否认我1L的测试，对吧，OK，那我现在不跟你讨论别的，还是①和② ...

算了，你不用继续了
有些东西你永远不会懂，有的工程师技术不行，有的工程师技术牛逼，但他对小白解释东西不会用他世界的语言，不知你怎么断章取义说我认为他不行。
一次又一次的转移话题，得了，有些东西解释到1+1=2的地步，如果不懂，要么智商低，要么硬撑，我不信你是前者，硬撑有什么好，错了就错了，改回来不就得了，至于现在到这地步吗？卖苦情我还动摇了，全当作废，你爱咋咋的，请随意，从今以后我不认识你，别回复