赞扬一下360，主要是拍砖

leisong

donews 发表于 2011-9-27 15:35
这个简单你做个测试将这个样本做免杀，免杀所有的在线扫描，然后再用360跑，看看主防拦不拦。
如果拦就不 ...

这个答案我已经告诉楼主了，但楼主跳跃式思维选择性的无视了，

不要说免杀，修改下MD5，签名失效，360就拦截了。
这只是签名的原因而已。
但楼主引出了完全无关的结论，所以我说楼主适合写小说。

leisong

yege0201 发表于 2011-9-27 15:34
看了之后有疑问~就是这个样本下载后360报毒~但是为什么运行就不报毒了~

如果真的是毒的话~为什么运行就 ...

其实我的测试已经说明了问题，具体41F回答了，运行不拦截签名的原因而已。修改MD5签名失效就拦截了。
和多引擎少引擎的完全没有关联，楼主的联想能力太强，适合写小说。

yege0201

leisong 发表于 2011-9-27 15:47
其实我的测试已经说明了问题，具体41F回答了，运行不拦截签名的原因而已。修改MD5签名失效就拦截了。
和 ...

我不说楼主联想能力如何~同样的现象不同的人看都能得出不同的结论~所以我也不予评论别人的结论是对是错~是好是坏~

真是签名的优先级高的话~那就是说如果是正规签名的文件运行不拦截的几率会非常大~

但是我觉得正规签名的文件如果有异常行为了是不是也需要拦截呢~

打个比方~之前三聚氰胺的奶粉都有QS标识~但是有了QS标识也不一定就安全了~还是需要对威胁进行拦截~

希望360能够改进这点~毕竟签名也越来越不安全了~

白瑾怀

精彩，受益匪浅！

sakula

精彩，受益匪浅！

这个帖子需要继续关注。

leisong

yege0201 发表于 2011-9-27 15:56
我不说楼主联想能力如何~同样的现象不同的人看都能得出不同的结论~所以我也不予评论别人的结论是对是错~是 ...

智能主防，如果正规签名的“异常”动作也拦，那就是纯HIPS了，思路不一样的，啥叫异常，加驱加服务叫不叫异常，都是病毒和正常程序可能共有的动作，都在WINDOWS的框架内实现的而已。

zouguan508

leisong 发表于 2011-9-27 15:47
其实我的测试已经说明了问题，具体41F回答了，运行不拦截签名的原因而已。修改MD5签名失效就拦截了。
和 ...

还有一个帖子可以小小的证明360报毒不是以在线多引擎扫描来作标准的http://bbs.kafan.cn/thread-1092030-1-2.html此贴也是同样类似的情况：扫描报，主防不报。看下5楼我上传多引擎扫描的结果：仅四家杀软报毒，其余均不报。如果360报毒是以在线多引擎扫描来作标准的话，那么这个怎么说

当然还得拍砖的是，我双击测试运行，主防确实不报，然后发现系统有点异常，果断使用360扫描，发现有流氓进驻了，但是云主防居然无视之，这这.....这让我有点蛋疼~~~因为现在手里没有hips等工具，不好观察行为，所以就麻烦lei兄了，也帮忙测试一下感谢·~~

ujty

leisong 发表于 2011-9-27 16:03
智能主防，如果正规签名的“异常”动作也拦，那就是纯HIPS了，思路不一样的，啥叫异常，加驱加服务叫不叫 ...

郑伟用户都快要跟你撒娇了：“360就是有问题就是有问题就是有问题嘛~~~就是本身不拦截靠多引擎扫描了啦~~~上边派的任务我这帖子立不住我就么的奖金了啦~~~~你不承认我就赖着不走了啦~~~~~”
形象化比喻而已，ID：郑伟用户，get away from me，自重。

sakula

就是有个疑问，为什么扫描报，而且运行不报呢？
既然认为是病毒就应该防御到底啊，为什么双击后有放行了？

yege0201

leisong 发表于 2011-9-27 16:03
智能主防，如果正规签名的“异常”动作也拦，那就是纯HIPS了，思路不一样的，啥叫异常，加驱加服务叫不叫 ...

安装完之后扫描却报毒了~说明生成了病毒文件~

如果说是智能主防的话~那么拥有正规签名的程序在安装过程中释放文件也应该再细分一下~

比如~如果拥有正规签名的程序安装过程释放了未签名的文件（主要是PE文件）~那么是否杀软有义务去检测~