关于近期内讨论热点的“白文件加载恶意dll”的病毒手段，各家杀软是怎么应付的？

十送鸿钧

金山最近的KSC提到了可以克制这种手段，虽然不大清楚是否是专门针对的、也不清楚具体效果如何，总之这是金山的解决办法……
然后就此打住，金山的KSC效果如何都不是这贴要讨论的……
而是只想认识下，每一家杀软都是如何应对这个攻击手段的
360大概是云主防+QVM吧
其他呢？
比如国内的瑞星呢？微点主防能否防住？

还有国外的ESET，卡巴，小A，大A，红伞，BD等产品又是如何应对的？

天原

是毒总要发生危险动作，

leisong

http://bbs.kafan.cn/forum.php?mo ... 85&pid=23506055，过卡巴；

http://bbs.kafan.cn/forum.php?mo ... 85&pid=23506572，过微点

http://bbs.kafan.cn/forum.php?mo ... 85&pid=23507159，过江民，江民主防整体其实未必比大牌们弱除了不防MBR，我测过，

绞尽脑汁想出这招，就是过各大智能主防 的，智能主防说穿了就是放行白名单增强易用性。没有本土优势优化主防拦截措施的大牌安软统统歇菜，没必要崇拜大牌。

另外，事后查杀不叫克制，叫补救，至于补救时号有没有被盗看你运气，木马运行当次就可完成盗号劫持支付的目的。

guidanba

估计问不出来的，，估计有新的防的方法的话相对来说也还是新技术，不可能透露。

kevinmax

新技术会保密

十送鸿钧

leisong 发表于 2012-2-29 15:55
http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=1231785&pid=23506055，过卡巴；

http ...

那个恶意dll手动扫描能查出来吗？
当然，现在多半已经入库了，刚出来那会呢？

leisong

十送鸿钧 发表于 2012-2-29 16:15
那个恶意dll手动扫描能查出来吗？
当然，现在多半已经入库了，刚出来那会呢？

刚出来那会，在病毒发布帖里，不是过了全部安软了么。
我测的时候，360已杀。
免杀后重新下载，360主防拦截。

zhq445078388

leisong 发表于 2012-2-29 15:55
http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=1231785&pid=23506055，过卡巴；

http ...

这东西不是过主防的 这个是过任意杀软监控的
传统监控 对程序进行EXE文件上传 鉴定。传统主防是比对主程序白名单
传统监控对程序加载模块列表仅进行特征监控 传统主防仅对加载列表中的重复加载项进行分析判断

这个东西想要防住 目前看来只能见一个收一个 或者靠云秒杀
如果是主防 则需要从危险API调用来反向查找执行API的汇编指令所在模块 然后单独分析模块行为。。这样会严重拖慢系统 并且看起来 如果要这么做 HIPS都得带上实时反汇编了。。。用过OD的都知道那会有多慢。。

zhq445078388

补充一句。。。也就是说以后用HIPS。。可能会这么弹窗
进程***.exe的***.dll模块尝试执行***动作。。是否允许你能忍受吗？

leisong

zhq445078388 发表于 2012-2-29 17:44
这东西不是过主防的 这个是过任意杀软监控的
传统监控 对程序进行EXE文件上传 鉴定。传统主防是比对主程 ...

你说的这段话和传统认知怎么相差那么远呢

传统监控是全盘写入都监控的，默认只监控可执行程序，可选监控一切程序，可执行程序也包括DLL好吧。这个怎么是过传统监控的呢？？？

木马作者绞尽脑汁用白名单加载病毒DLL分明就是过智能主防的，因为智能主防只监控EXE主程序啊，也因为智能主防必然要设白名单，各国际大牌安软的主防不是已经被过得稀里哗啦了么。当然DLL首先也是要免杀过杀软的全盘写入监控