本帖最后由 yjwfdc 于 2011-10-16 11:50 编辑
有关所谓可突破物理断网的"云地持久连接"的测试,
测试起因是这个大话
xxx云主防不需要再拦截、对抗新型的断网攻击手法,也不需要考虑诸如物理断网的情况,永远可以在云地之间连接并实现对用户的防御,使xxx云主防更完美地拦截木马病毒对用户的攻击
360卫士是官网上的最新版本8.2正式版.先看看启动项和服务项.
1.先试连网,手动运行病毒.
在卡饭病毒包里拿出一个病毒,见付件.联网状态下运行,360卫士发现病毒,被阻止,这个时候如果断网运行,因为这个病毒已经在360卫士里有记录,还是会阻止的.
2.手动断网,手动运行病毒.
还原快照,禁用网卡断网,再运行,这次中毒了.
看看启动项."云地持久连接"不知道去那里了?
3.程序断网,手动运行病毒.
还原快照,
运行断网程序,再双击病毒,中毒了.
看看启动项."云地持久连接"不知道去那里了?
4.程序断网,程序调用病毒.
还原快照,
运行程序断网,这个程序调用病毒,过了云特征,病毒运行起来了,但很多询问,启动项被拦截了.
5.程序断网,社会工程学运行病毒.
(方法是这样的,制作一个先断网,再让用户手动运行病毒,这个病毒运行起来后,自动连网.)
还原快照,
先运行一个ping命令,看看断网和连网的情况.
运行断网程序,系统询问运行还是保存,点保存,点打开文件夹,运行下载了的文件.病毒运行起来了,成功添加了启动项.(原来是直接点运行也会被加启动项的,可能服务器作了调整,保存后再运行才可以加启动项.)
结果:
1.连网,手动运行病毒.(不中毒)
2.手动断网,手动运行病毒.(中毒)
3.程序断网,手动运行病毒.(中毒)
4.程序断网,程序调用病毒.(不中毒)
5.程序断网,社会工程学运行病毒.(中毒)
所谓的"云地持久连接"是中文没学好,打错字了的.
或者可以用意译.就象1985年时我的同学就预言:
苏联会在1990年由于核试验失败而从地球消失一样.苏联果然在1991年在地球上消失了,所谓的"核试验失败"原来是"改革试验失败".
断网后,断网前运行的程序通常都变成受限权限,提权需要询问.
由资源管理器启动的程序都按最松本地规则询问.
当然不会只有这样的机制,再加上几个机制就很少弹窗了.
比如已知的全部高权限,未知的低权限,
曾经执行过可能断网行为的低权限,没执行过可能断网行为的高权限.
从测试来看,断网后,360变成了个多步规则自动分组hips.相同的测试会有几个不同结果.
这个和金山的 进程行为基因分析系统是一样的,金山原来叫它 虚连接.
录像和病毒下载,共10m,
网盘下载,解压密码:123
http://www.vdisk.cn/down/index/8939494A3228
有人怀疑第5个测试加入了白名单,所以再录一次,把录像发上来,大家看看有没有加入白名单.
有些人看不明白第五个测试.这里说明一下.
1.运行我的程序后,网络会在后台断了,
2.之后弹出一个文件下载框,
3.点下载,下载完成后,大部分人都会找到刚下载的程序运行,
4.这时就是断网运行程序,
5.这个程序就添加了启动项,
6.添加完启动项后,
7.自动把网络连上.
8.由于把网络连上了,而这个病毒没有免杀,360又可以查到了,就弹了查到病毒的框.
========
有人又会问,为什么网络断了还可以下载文件呢?这是就是飘逸首创的可突破物理断网的"持久下载"软件,所以可以断了网还可以下载.
|
[复制链接]
发表于 2011-10-6 15:15:07
发表于 2011-10-6 15:35:44
楼主
最弱了不是会轻易中毒吗
不还原快照,云地持久连接才能用吧,就像重装系统后运行病毒谈云地持久连接一样荒谬