TDSS型FAKE AV和BMW 2个重量级病毒 VS 360云主防，输了; （关闭云QVM的方法18F）

wowocock

这类东西的看点在于中了之后，是否 能查杀，修复。好像目前对ROOTKIT方面来说比较好的只有卡巴，当然我们也在不断的改进中。目标是即使你机器内满大街的木马驱动，也能帮你清理干净，嘿嘿。

leisong

wowocock 发表于 2011-11-12 20:43
这类东西的看点在于中了之后，是否 能查杀，修复。好像目前对ROOTKIT方面来说比较好的只有卡巴，当然我们也 ...

这类东西一般都搞镜像劫持，知名不知名的杀软全在上面，能查杀又有机会启动吗？

jefffire

wowocock 发表于 2011-11-12 20:43
这类东西的看点在于中了之后，是否 能查杀，修复。好像目前对ROOTKIT方面来说比较好的只有卡巴，当然我们也 ...

Rescue CD才是王道

killloop

wowocock 发表于 2011-11-12 20:43
这类东西的看点在于中了之后，是否 能查杀，修复。好像目前对ROOTKIT方面来说比较好的只有卡巴，当然我们也 ...

wowocock

killloop 发表于 2011-11-12 22:26

卡巴的这种方法有一定的问题，试问现在那个杀软不改系统内核呢？（32位下），如果靠那来判断ROOTKIT的话，估计误报就整死卡巴了。

wowocock

leisong 发表于 2011-11-12 21:37
这类东西一般都搞镜像劫持，知名不知名的杀软全在上面，能查杀又有机会启动吗？

改个名字就过了。

wowocock

killloop 发表于 2011-11-12 22:26

MJ的话即对也不对，对的是在主防没关闭的时候，几乎很少有驱动能加进来。不对的地方是一旦用社工关闭了安全卫士加载进驱动后，主防就成了浮云。也就是我常说的，只要被运行一次，就能永远突破你的防御长城。

7758521wang

支持测试 防御确实重要 只要漏一点 剩下的都是浮云了

久远寺有珠

等待官人

webuncle

wowocock 发表于 2011-11-12 20:43
这类东西的看点在于中了之后，是否 能查杀，修复。好像目前对ROOTKIT方面来说比较好的只有卡巴，当然我们也 ...

看来修复已经排在流水线上了