【测验】小测金山毒霸查杀和云鉴定以及铠甲监控

caixx

“沙箱”中运行样本。

沙箱本来就是一个虚拟的环境，这种虚拟环境下的运行能触发实际环境中的K+？

qwe12301

1.不要在沙箱测试主防，沙箱本来就是受限的环境
2.winlock这类样本和fakeAV类似，就是一个界面，如果没有写注册表、加驱等行为，它就属社会工程学范畴，比较难防范
3.楼主测试的貌似只有1个样本 winlock么，能反映普遍情况吗？
4.未知文件限制功能，要经过边界防御的检测才会起作用。比如下载保护检测到未知文件，你用户如果手动运行
会提示你云鉴定（当然也也可选择直接运行），如果云鉴定转人工了，再运行会提示你文件正在人工鉴定中，请谨慎运行
以上是我最近亲身体会过的一个环节，可以说考虑的比较周全。

但是你是绕过了边界防御直接运行了未知文件自然就不会拦截的。
另补充一句，以前金山毒霸是有一个未知文件提示运行的功能，但是后来又取消理由是对普通用户来说还是操作影响较大

另外，云主防受云鉴定结果 影响将会逐渐减小，因为两方面都在做足功夫解决这个问题。今年说不定还有新东西呢，呵呵

郑伟用户

绅博周幸 发表于 2012-2-3 03:34
你现在才知道金山的鉴定机制不完善啊，这个是我早就点出的问题了。可惜金山官方是不会轻易改进的， ...

窗口置顶这个样吧，毒霸应该会拦截样吧对shell的篡改，拦截以后重启计算机应该就没事了，而要拦截这个窗口置顶，应为好多网吧软件也使用同样的行为，这个具体要怎么拦截还在考虑之中，如果不考虑误报，只考虑拦截的话，金山早做了....

caixx

郑伟用户 发表于 2012-2-3 10:30
窗口置顶这个样吧，毒霸应该会拦截样吧对shell的篡改，拦截以后重启计算机应该就没事了，而要拦截这个窗口 ...

不晓得是需要运行环境还是什么，顶楼的这个样本我虚拟机运行后没反应，没有出现这个界面。

郑伟用户

看我楼上回复

DPT1

在金山沙箱中运行病毒程序K+是不会拦截的，除非用沙盘。

maomao110

绅博周幸 发表于 2012-2-3 03:34
你现在才知道金山的鉴定机制不完善啊，这个是我早就点出的问题了。可惜金山官方是不会轻易改进的， ...

和你看法一致     唉   

绅博周幸

maomao110 发表于 2012-2-3 11:10
和你看法一致     唉

顶猫猫

maomao110

绅博周幸 发表于 2012-2-3 11:18
顶猫猫

问你一件事情   你是经常看评测的   为什么av-c和av-test上面   趋势科技成绩不算太差    怎么在卡饭样本区的测试   趋势的检测率极低啊？

绅博周幸

星空下的吻 发表于 2012-2-3 10:04
同样拥有海量白名单却无法借鉴360的云主防,非要和云鉴定挂钩,效果大打折扣,只能是技术上的短板

兄台一语道破天机啊