过主防？

显示全部楼层 · 发表于 2012-2-14 11:02:08

本帖最后由 leisong 于 2012-2-14 11:02 编辑

Tron 发表于 2012-2-14 08:51
不过主防，这类型是压缩包攻击，你通过下载来的话，会识别并拦截主防行为

确实弹绿框，建立的启动项都是有签名的，恐怕真的被伪造的签名过掉了。

显示全部楼层 · 发表于 2012-2-14 11:10:21

leisong 发表于 2012-2-14 11:02
确实弹绿框，建立的启动项都是有签名的，恐怕真的被伪造的签名过掉了。

过了？

显示全部楼层 · 发表于 2012-2-14 11:10:21

本帖最后由 leisong 于 2012-2-14 11:11 编辑

Tron 发表于 2012-2-14 11:02
免杀后主防也可以拦截

修改MD5主防就不拦了，见楼上。

然后发现该DLL文件QVM可杀，但是QVM主防只对EXE做执行监控，不监控DLL的启动，是不是？

最后被扫描干掉了，但主防在智能模式确实不拦。

签名真的靠不住啊。

显示全部楼层 · 发表于 2012-2-14 11:17:03

过主防真正的含义是无任何提示, 直接绕过了主防的监控

而主防对此样本的行为是监控到了

但是, 貌似由于21楼的原因而未有提示为黄红色警示 , 显示的是绿色安全提示

显示全部楼层 · 发表于 2012-2-14 11:17:59

本帖最后由 Palkia 于 2012-2-14 11:18 编辑

怎么样了发表于 2012-2-14 11:17
过主防真正的含义是无任何提示, 直接绕过了主防的监控

而主防对此样本的行为是监控到了

用默认设置就是无任何提示，2楼那个弹框已经是修复后二次运行时候才提示的。

21楼的测试并非默认设置。

显示全部楼层 · 发表于 2012-2-14 11:20:36

本帖最后由怎么样了于 2012-2-14 11:21 编辑

Palkia 发表于 2012-2-14 11:17
用默认设置就是无任何提示，2楼那个弹框已经是修复后二次运行时候才提示的。

默认设置就是对绿色安全项直接放行 . 而不再提示用户 . 这不代表主防未有监控

对很多正规官方软件就是这样处理的 ,你一楼的第一张图就说明已经监控到了

显示全部楼层 · 发表于 2012-2-14 11:23:10

怎么样了发表于 2012-2-14 11:20
默认设置就是对绿色安全项直接放行 . 而不再提示用户 . 这不代表主防未有监控

总之现在的这个样本就是威胁文件，目前360已经加特征查杀。

而之前运行测试就是在主防开启监控下感染了系统。

显示全部楼层 · 发表于 2012-2-14 11:25:53

Palkia 发表于 2012-2-14 11:23
总之现在的这个样本就是威胁文件，目前360已经加特征查杀。

而之前运行测试就是在主防开启监控下感染了 ...

明白你说的意思

那么准确的说 , 所谓的 "过" . 应该包含两种方式,

一种是绕过, 主防未有任何提示

一种是骗过, 主防认为是安全项而直接放行了 .

显示全部楼层 · 发表于 2012-2-14 11:28:39

本帖最后由 Palkia 于 2012-2-14 11:29 编辑

怎么样了发表于 2012-2-14 11:25
明白你说的意思

那么准确的说 , 所谓的 "过" . 应该包含两种方式,

大家都明白的地方就不用咬文嚼字了。

显示全部楼层 · 发表于 2012-2-14 11:30:53

本帖最后由怎么样了于 2012-2-14 11:39 编辑

Palkia 发表于 2012-2-14 11:28
大家都明白的地方就不用咬文嚼字了。

被骗也是过

确实也没错

这说明, 主防对于即使有正是签名的样本采用直接放行的办法也需要修正了 . 以后肯定还会有这种方式的样本出现

[问题反馈] 过主防？