多种方法免杀木马实测国内3大主流杀软

郑伟用户

陈泽庶 发表于 2011-10-23 10:10
我运行过了，毒霸只报未知程序修改注册表和进程注入

恩，拦截了，按理说你在运行的第一步毒霸就会提示你【未知程序将要运行，是否上传鉴定】这么个拦截提示框，说白了就是不给恶意或者未知程序运行机会。
其实很多东西的防御理念不一样，比如像360瑞星什么的都是一定技术的，现在的QVM确实很变态，过他很难，但是有个后话就是，木马作者想想有大的收入，必须得想办法过360云主防，而这种东西就是攻与防的长期较量，谁都不敢说谁过不了谁，现在不能不能保证将来不能。个人理解的话就是360和瑞星的的理念是，只要有危险动作运行我们就要对其进行拦截，在用户本地做到强有力的对抗，而金山的理念是，未知样本在云安全中心未确定之前就不让其运行，既然安装了防护软件，那么你的安全就算交给他了，他再没有提示安全之前为什么要不听防护软件提示去运行呢【这里没有针对你这个实验说】，而如果想你这些实验样本是否在运行时毒霸给予敏感动作的拦截，如果拦截了，他还是没有过毒霸，而如果你这些样本放出来以后，他会在毒霸用户面前存活多长时间，也是个问题。所以说要过金山那要看他是否过了云端鉴定，何况过了云端鉴定，如果程序有高敏感动作，K+还是会对其进行拦截。这里我不能把防御逻辑说的太透彻。

不过确实毒霸的防御的进步空间还很大，最后还是支持楼主多多测试，毒霸半年的防御做到如此还算是满意吧。

陈泽庶

郑伟用户 发表于 2011-10-23 10:27
恩，拦截了，按理说你在运行的第一步毒霸就会提示你【未知程序将要运行，是否上传鉴定】这么个拦截提示 ...

目前来说我过360还都是用猛壳的，一般的方法根本被办法过表面，360启发就已经很变态了，毒霸云速度再快也是需要时间响应的，在这时间内还是有人会中招，希望毒霸别再搞什么微特征，扎扎实实搞本地才是真确的方向....另外要提的是金山和360的主动防御靠白名单让人很不爽，不认识的一律拦，而瑞星和微点靠的是技术...

郑伟用户

陈泽庶 发表于 2011-10-23 10:37
目前来说我过360还都是用猛壳的，一般的方法根本被办法过表面，360启发就已经很变态了，毒霸云速度再快也 ...

恩，这点赞成，虽然在卡饭测试微点主防的成绩相对云杀软的是低一点，不过说智能的话，从防御面来说我也认同微点主防，不过像微点那样的主防要做精还是很不容易的，既要高拦截率又要低误报率，这个得他们工程师潜心琢磨了，毕竟软件不是人。

yjwfdc

陈泽庶 发表于 2011-10-23 10:37
目前来说我过360还都是用猛壳的，一般的方法根本被办法过表面，360启发就已经很变态了，毒霸云速度再快也 ...

我感觉金山微特征是宁可放过,不可杀错.

360 qvm是宁可杀错,不可放过.

主要表现在误杀率,我的测试方法是修改他自己公司出品的程序,看报不报毒.

那一个理念适合你,就看你自己了.

874333058

这些都不用

陈泽庶

yjwfdc 发表于 2011-10-23 10:46
我感觉金山微特征是宁可放过,不可杀错.

360 qvm是宁可杀错,不可放过.

NONONO，金山和360都是宁可放过,不可杀错

yjwfdc

陈泽庶 发表于 2011-10-23 10:57
NONONO，金山和360都是宁可放过,不可杀错

你再用一些白文件加壳加垃圾代码试试.360 qvm一定误报一大堆.

陈泽庶

yjwfdc 发表于 2011-10-23 11:31
你再用一些白文件加壳加垃圾代码试试.360 qvm一定误报一大堆.

报壳是正常的，你随便弄个正常文件加ASP或是UPX壳传到多引擎大部分都能杀，垃圾代码我只见过AVG杀....

zuo

建议楼主用虚拟机测试，这样就可以录下瑞星的弹窗了

-oAo-

看测试JS最差