最新白文件利用活木马实测金山KSC

cutemole

官方解释下，“寄居蟹”病毒的防御是在sp3的K+放出的，sp3.1体验版只有ksc，K+没有更新这部分内容。

seehere

zhuopiao 发表于 2012-2-18 13:12
看了测试 果断换掉毒霸去

http://bbs.kafan.cn/thread-1225158-7-1.html

kw5828709

楼主厉害啊，技术流啊～～

kw5828709

楼主厉害啊，技术流啊～～

leisong

jefffire 发表于 2012-2-17 13:30
区别还是能看出来的。就目前看来，KSC在非白即黑的基础上更深入了一步。就拿本贴中第二个样本为例。这个 ...

区别你是怎么看出来的？你做过比较测试才下的这个结论还是想当然了？
做为云查杀的急救箱，如果连宿主具有启动项的DLL劫持都查不出来，也是在太弱了吧。

金山之前版本的急救箱了吗（最新急救箱加入了KSC了，还内测个啥，都公开加入了），可以杀到2F的样本，奇怪的是就连毒霸没有KSC的版本一键云查杀都能查到该DLL，右键扫描不报。截图和日志如下：

注意日志显示的是异常项，不是报毒。
[2012-02-18 21:32:06] 手动杀毒 C:\Program Files\StormDate\oicroexamin.exe 类型:系统异常项 安全级别:危险  处理方式:未处理
[2012-02-18 21:32:06] 手动杀毒 C:\Program Files\StormDate\HaoZip.dll 类型:系统异常项 安全级别:危险  处理方式:未处理

所以要想真的说明KSC什么，不但要做横向比较，还需拿老版本做纵向比较测试才能看究竟有没有或有多少新意？

jefffire

leisong 发表于 2012-2-18 21:49
区别你是怎么看出来的？你做过比较测试才下的这个结论还是想当然了？
做为云查杀的急救箱，如果连宿主 ...

我只是基于金山的KSC确实是采取了统计学习算法，以文件泛特征为变量的前提下的一个推测。如果金山以人工编写的规则来模拟，那就没什么可说的。至于其中真伪性，在我有限的实验前提下，无法证明亦无法证伪。