赞扬一下360，主要是拍砖

郑伟用户

怎么样了 发表于 2011-9-27 14:45
看来此问题属于非常特殊的例子 , 一个正规厂商带正规数字签名的软件,

但是有些行为又比较符合木马的定义 ...

那要是这样的话应该是下载不必要报毒，而主防应该报风险啊

leisong

郑伟用户 发表于 2011-9-27 14:29
去测样本区原程序，要不现在双击都不拦截，要么和你这个弹窗一样，样本有数字签名，你改他的MD5值？要是这 ...

我24F内容没有修改，你再仔细看看上面那段，你平时习惯跳跃式阅读吗？

我先说了运行弹绿框，会自动放行（加粗希望你能看到，别再跳跃哦）

修改MD5是为了测试360的报毒机制和拦截机制，说明数字签名优先度比云库更高，首先被数字签名给放行了，而不是你说的本身么有拦截能力这种牵强的结论。

除了跳跃式阅读，还有跳跃式思维：无视了绝大多数，选择了极少数特殊样本做跳跃式结论

怎么样了

郑伟用户 发表于 2011-9-27 14:48
那要是这样的话应该是下载不必要报毒，而主防应该报风险啊

干脆对这类的样本红色报警改为风险提示,   告诉用户此软件有插件,   请谨慎使用  

这是比较折中的处理

当然,  此乃个人看法

郑伟用户

leisong 发表于 2011-9-27 14:49
我24F内容没有修改，你再仔细看看上面那段，你平时习惯跳跃式阅读吗？

我先说了运行弹绿框，会自动放行 ...

你那段话我看到了，你给说说为什么改MD5就报了，上面我也答复你了。这也就说到样本到底算不算木马，算---为什么运行不拦截？不算---那为什么改MD5就报毒，QVM误报还是什么？种种迹象都表明了360在以在线多引擎扫描来作标准

leisong

郑伟用户 发表于 2011-9-27 14:53
你那段话我看到了，你给说说为什么改MD5就报了，上面我也答复你了。这也就说到样本到底算不算木马，算--- ...

你这段没有逻辑的推论已经语无伦次了，你很着急要得出结论，已经不问基本逻辑了。
着急没用的，跳跃式思维和跳跃式推理不适合安软分析，适合写推理小说。

这只是执行监控的优先度问题，先生，假设先生的跳跃式结论成立，那执行还是因该拦截啊，就算以多引擎为拦截标准好了，这个样本的现象和你的结论有半点关联？

郑伟用户

怎么样了 发表于 2011-9-27 14:52
干脆对这类的样本红色报警改为风险提示,   告诉用户此软件有插件,   请谨慎使用  

这是比较折中的处理 ...

这样当然是最好的

郑伟用户

leisong 发表于 2011-9-27 15:04
你这段没有逻辑的推论已经语无伦次了，你很着急要得出结论，已经不问基本逻辑了。
着急没用的，跳跃式思 ...

你一直是在推脱，并没有回答我所提出的问题，特别是34楼问题，我肯定的说你不敢正面回答了，你也回答不了了，通过你这个改MD5就报毒而原程序不拦截的现象，更能证明我心中的疑虑了，请不要疏忽360的用户量问题。

yege0201

leisong 发表于 2011-9-27 14:21
可能是云端没有同步，又或许是网盾报毒机制和执行监控不一样，执行监控被那个过期的数字签名过了，具体情况 ...

看了之后有疑问~就是这个样本下载后360报毒~但是为什么运行就不报毒了~

如果真的是毒的话~为什么运行就不拦截了~是不是哪个环节出了问题~

如果不是毒的话~那么为什么修改MD5后就报毒了~是不是检测机制有瑕疵~

donews

郑伟用户 发表于 2011-9-27 15:08
你一直是在推脱，并没有回答我所提出的问题，特别是34楼问题，我肯定的说你不敢正面回答了，你也回答不了 ...

这个简单你做个测试将这个样本做免杀，免杀所有的在线扫描，然后再用360跑，看看主防拦不拦。
如果拦就不是以在线为标准，如果不拦就是以在线为标准。

zouguan508

其实郑伟发此贴的意思就是想方设法的证明360是否报毒是以在线多引擎扫描来作标准的