【测验】小测金山毒霸查杀和云鉴定以及铠甲监控

绅博周幸

maomao110 发表于 2012-2-3 11:19
问你一件事情   你是经常看评测的   为什么av-c和av-test上面   趋势科技成绩不算太差    怎么在卡饭样本 ...

这个我也不清楚啊，不过以前我用趋势的时候趋势对样本上报的反馈很及时（4小时内），而且配合带启发的引擎+临时病毒库（每小时不断更新）在样本区查杀也很不错呢。

maomao110

绅博周幸 发表于 2012-2-3 11:22
这个我也不清楚啊，不过以前我用趋势的时候趋势对样本上报的反馈很及时（4小时内），而且配合带启发的引擎 ...

这个。。。。去年看趋势样本区测试都是10%-40%   看的郁闷

cutemole

我简单说明一下把，统一回复下各楼的问题

1.边界来源的未知文件是有标记的。

2.沙箱运行病毒K+是不拦截的

3.对于置顶锁定windows的行为，毒霸目前是不拦截的，否则可能会导致很多软件出问题

4.K+是基于云的，不是基于云鉴定的。

5.楼主没有见过未知的拦截，可能主要是因为毒霸云对病毒鉴定太快了。楼主可以通过加壳等等手法改造个未知文件出来测试。

6.如果楼主用的是64位系统的话，K+对64位的支持还比较有限，不过很快会出原生64位支持的版本。

julia跺跺

http://bbs.kafan.cn/thread-1215904-1-1.html这个帖子里说的不错

andywangsc

cutemole 发表于 2012-2-3 11:36
我简单说明一下把，统一回复下各楼的问题

1.边界来源的未知文件是有标记的。

原生64位版本，金山终于想通了，泪流满面

【乱】

caixx 发表于 2012-2-3 10:06
“沙箱”中运行样本。

沙箱本来就是一个虚拟的环境，这种虚拟环境下的运行能触发实际环境中的K+？

那虚拟机之类的有时候也时也不能代表实际环境吧？
我实机也悲剧过N次了 云鉴定人工 然后本地不拦截也是个现实问题
像文中某周那样本 实际测的 结果悲剧还原系统

【乱】

DPT1 发表于 2012-2-3 11:01
在金山沙箱中运行病毒程序K+是不会拦截的，除非用沙盘。

事实是 可杀样本可以拦杀

【乱】

qwe12301 发表于 2012-2-3 10:29
1.不要在沙箱测试主防，沙箱本来就是受限的环境
2.winlock这类样本和fakeAV类似，就是一个界面，如果没有写 ...

不知道对一些样本
下载安全→云鉴定转人工→双击悲剧 是什么想法.....

【乱】

cutemole 发表于 2012-2-3 11:36
我简单说明一下把，统一回复下各楼的问题

1.边界来源的未知文件是有标记的。

那先暂时抛开沙箱主防铠甲之类的
云鉴定转人工 也就是说云鉴定认为这文件很可疑
但无论查杀自动云鉴定 还是云鉴定后转人工 查杀方面没丝毫的提示

郑伟用户

【乱】 发表于 2012-2-3 14:50
那先暂时抛开沙箱主防铠甲之类的
云鉴定转人工 也就是说云鉴定认为这文件很可疑
但无论查杀自动云鉴 ...

这个你理解错了，沙箱运行病毒，毒霸拦截是因为，释放到KSafeBox下的文件被识别出来了，肯定会杀掉，而未知程序的动作还在沙箱内运行着，所以毒霸不拦截，如果拦截了就看不到样本动作了，还有那些个窗口置顶的样本，没有一个可以过毒霸，上面我说过，只要拦截了对shell的篡改，一切OK