楼主: Palkia
收起左侧

[问题反馈] 过主防?

  [复制链接]
leisong
发表于 2012-2-14 11:02:08 | 显示全部楼层
本帖最后由 leisong 于 2012-2-14 11:02 编辑
Tron 发表于 2012-2-14 08:51
不过主防,这类型是压缩包攻击,你通过下载来的话,会识别并拦截主防行为


确实弹绿框,建立的启动项都是有签名的,恐怕真的被伪造的签名过掉了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
6900507
发表于 2012-2-14 11:10:21 | 显示全部楼层
leisong 发表于 2012-2-14 11:02
确实弹绿框,建立的启动项都是有签名的,恐怕真的被伪造的签名过掉了。

过了?
leisong
发表于 2012-2-14 11:10:21 | 显示全部楼层
本帖最后由 leisong 于 2012-2-14 11:11 编辑
Tron 发表于 2012-2-14 11:02
免杀后主防也可以拦截


修改MD5主防就不拦了,见楼上。

然后发现该DLL文件QVM可杀,但是QVM主防只对EXE做执行监控,不监控DLL的启动,是不是?

最后被扫描干掉了,但主防在智能模式确实不拦。

签名真的靠不住啊。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
怎么样了
发表于 2012-2-14 11:17:03 | 显示全部楼层
过主防真正的含义是无任何提示,    直接绕过了主防的监控

而主防对此样本的行为是监控到了   

但是,   貌似由于21楼的原因而未有提示为黄红色警示 ,  显示的是绿色安全提示
Palkia
 楼主| 发表于 2012-2-14 11:17:59 | 显示全部楼层
本帖最后由 Palkia 于 2012-2-14 11:18 编辑
怎么样了 发表于 2012-2-14 11:17
过主防真正的含义是无任何提示,    直接绕过了主防的监控

而主防对此样本的行为是监控到了   


用默认设置就是无任何提示,2楼那个弹框已经是修复后二次运行时候才提示的。

21楼的测试并非默认设置。
怎么样了
发表于 2012-2-14 11:20:36 | 显示全部楼层
本帖最后由 怎么样了 于 2012-2-14 11:21 编辑
Palkia 发表于 2012-2-14 11:17
用默认设置就是无任何提示,2楼那个弹框已经是修复后二次运行时候才提示的。


默认设置就是对绿色安全项直接放行 .   而不再提示用户 .  这不代表主防未有监控


对很多正规官方软件就是这样处理的  ,你一楼的第一张图就说明已经监控到了
Palkia
 楼主| 发表于 2012-2-14 11:23:10 | 显示全部楼层
怎么样了 发表于 2012-2-14 11:20
默认设置就是对绿色安全项直接放行 .   而不再提示用户 .  这不代表主防未有监控

总之现在的这个样本就是威胁文件,目前360已经加特征查杀。

而之前运行测试就是在主防开启监控下感染了系统。
怎么样了
发表于 2012-2-14 11:25:53 | 显示全部楼层
Palkia 发表于 2012-2-14 11:23
总之现在的这个样本就是威胁文件,目前360已经加特征查杀。

而之前运行测试就是在主防开启监控下感染了 ...

明白你说的意思

那么准确的说 , 所谓的 "过" . 应该包含两种方式,  

一种是绕过, 主防未有任何提示

一种是骗过, 主防认为是安全项而直接放行了 .      
Palkia
 楼主| 发表于 2012-2-14 11:28:39 | 显示全部楼层
本帖最后由 Palkia 于 2012-2-14 11:29 编辑
怎么样了 发表于 2012-2-14 11:25
明白你说的意思

那么准确的说 , 所谓的 "过" . 应该包含两种方式,  


大家都明白的地方就不用咬文嚼字了。
怎么样了
发表于 2012-2-14 11:30:53 | 显示全部楼层
本帖最后由 怎么样了 于 2012-2-14 11:39 编辑
Palkia 发表于 2012-2-14 11:28
大家都明白的地方就不用咬文嚼字了。


被骗也是过

确实也没错

这说明,   主防对于即使有正是签名的样本采用直接放行的办法也需要修正了 . 以后肯定还会有这种方式的样本出现
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 02:01 , Processed in 0.102565 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表