(newmovie样本)Ｋ＋防御的客观评估测试

显示全部楼层 · 发表于 2011-10-25 11:46:22

针对以下三个帖子提到的金山毒霸K+防御不给力的问题，做了一个防御的客观测试。
http://bbs.kafan.cn/thread-1113923-1-1.html
http://bbs.kafan.cn/thread-1113798-1-1.html
http://bbs.kafan.cn/thread-1114447-1-1.html

1．首先这个样本金山毒霸初次鉴定时判断为安全，导致不能防御，这个应该是鉴定的问题，不能归咎于K+防御不给力，这种样本鉴定报安全的情况金山主要要解决的还是错误鉴定问题。
２．现在我们将样本置灰之后看看K+的防御效果：进程注入时直接拦截，防御成功，病毒运行失败。

３．针对http://bbs.kafan.cn/thread-1114447-1-1.html 帖子中提到的断网测试，本身断网测试意义就不大，经实际测试在断网场景下，金山和360的防御效果是一致的，会针对服务及驱动加载做拦截，其他不拦。

这是我实机客观测试的效果，这个样本如果不是因为金山鉴定出错，K+防御是完全可以防御的。欢迎大家拍砖。

显示全部楼层 · 发表于 2011-10-25 11:52:54

按照你这么说，K＋岂不是跟着鉴定走？

显示全部楼层 · 发表于 2011-10-25 11:55:05

那個 explorer.exe 沒說是被誰調用的，一般用戶看了，肯定點允許。

显示全部楼层 · 发表于 2011-10-25 11:55:18

我的帖子后面也增加了改成未知后的K+测试，结果也是成功防御了。

显示全部楼层 · 发表于 2011-10-25 11:57:04

pop0762 发表于 2011-10-25 11:52
按照你这么说，K＋岂不是跟着鉴定走？

金山是云主防，K+ 是会跟着云鉴定走。
所以现在金山的主要问题是把云鉴定弄好，不要老是把黑文件报白。

显示全部楼层 · 发表于 2011-10-25 12:07:24

把主防策略改改就好了

显示全部楼层 · 发表于 2011-10-25 12:39:48

置灰测试才是比较客观的。因为现在K+对文件信誉这块还缺乏比较完善的审核机制，所以会出现误判白就很可能过防御的窘境
断网测试更是不科学，因为K+只对部分行为会在无网络情况下拦截，还有些行为需要联网验证，所以这里又存在不科学不合理的测试

显示全部楼层 · 发表于 2011-10-25 12:40:58

本帖最后由 qwe12301 于 2011-10-25 12:41 编辑

不知道你如何对这个样本进行置灰的，我发现用普通的加壳加花，运行都提示错误。
咱们可以私下交流下。

显示全部楼层 · 发表于 2011-10-25 12:51:24

a256886572008 发表于 2011-10-25 11:55
那個 explorer.exe 沒說是被誰調用的，一般用戶看了，肯定點允許。

explorer本来就启动的,K+提示的是病毒注入的目标程序是它.

显示全部楼层 · 发表于 2011-10-25 13:00:02

cfans 发表于 2011-10-25 12:51
explorer本来就启动的,K+提示的是病毒注入的目标程序是它.

我說的，是最後那一張圖。

[金山] (newmovie样本)Ｋ＋防御的客观评估测试

本帖子中包含更多资源