关于近期内讨论热点的“白文件加载恶意dll”的病毒手段，各家杀软是怎么应付的？

-oAo-

我用微点，没中过这毒

wxl249346514

貌似有主防的差不多都搞定了。。。数字，kis等等，就是微点和ESS悲剧了。。

XMonster

KSC也只能事后补救 并不能提前拦截的   目前貌似能拦截的 就只有360了  不过也有瑕疵 需要网盾的联动

十送鸿钧 发表于 2012-2-29 16:15
那个恶意dll手动扫描能查出来吗？
当然，现在多半已经入库了，刚出来那会呢？

Win7 的Applocker，其中的dll控制，可以仅加载特定排除的部分.dll（如放行具有微软签名的.dll,拦截无签名.dll文件的执行）～～这一定程度上，可以解决上面的问题（当然，不能彻底解决～）

zhq445078388

leisong 发表于 2012-2-29 18:08
你说的这段话和传统认知怎么相差那么远呢

传统监控是全盘写入都监控的，默认只监控可执行程序，可选 ...

古老型的监控是访问扫描
传统型监控是重点监控exe 然后快速监控其他文件
当EXE调用DLL时 对被调用的DLL也是快速监控
否则你的程序运行会非常卡慢

出现RPK等病毒后 对重复加载同名DLL的部分也严格监控 但是对这种自己load的DLL还是采用的快速监控

尘梦幽然

目前暂时没有不牺牲性能而拦截本类病毒的方法。只能入库

pan5639

dm34343667 发表于 2012-2-29 18:59
KSC也只能事后补救 并不能提前拦截的   目前貌似能拦截的 就只有360了  不过也有瑕疵 需要网盾的联动

说的通俗一点是不是KSC相当于毓婷，而360的主防相当于杜蕾斯

XMonster

pan5639 发表于 2012-3-1 10:46
说的通俗一点是不是KSC相当于毓婷，而360的主防相当于杜蕾斯

这个… 勉强是吧  不过KSC只能事后杀毒  有可能在杀之前 号就被盗了

maomaojk

数字 那个是入库了才能拦截的吧。 入库了后，谁都可以查。

卡毒_破晓

说实话，这个东西1年前都有人做出来了，目的是防止解压出来杀软本地监控杀掉。