什么防护新逻辑，以前没有过，严格的加载DLL拦截正好可以代替内存监控及时杀除病毒DLL

leisong

白名单加载DLL病毒这种方式，360已经彻底更新为无缝拦截，无论何种传输方式还是电脑内原有的旧文件，不再依靠网盾联动。估计这种利用方式又要快进入尾声了。不知道下一个被利用的方式是什么，够他们头疼一阵的。

但更新后的新版本，发现一个奇怪的问题，无论是从恢复区还是电脑上原有的，解压后，同目录下的任何程序都会被拦截，包括运行360自己的程序，太严格了吧。不过点击清除只会清除病毒DLL。

修改掉那个DLL，则正常运行。

莫非新的防御逻辑，360会遍历所运行程序同目录下的所有DLL，只要有病毒DLL，就拦截一切EXE运行，不管该EXE会不会加载病毒DLL，是不是太严格了点。

Lance6716

这...真的这样的话也太二了吧....
等官方解释

XMonster

刚刚想发出来 被你抢先了

XMonster

修改MD5后 删除云qvm


时间        操作        说明        次数
16:37:22        自动阻止        动态链接库劫持        1
详细描述：
进程：C:\USERS\DXM\DOWNLOADS\QQ黏虫\MD5修改器.EXE
动作：动态链接库劫持
路径：C:\USERS\DXM\DOWNLOADS\QQ黏虫\KwLogSvr.dll

leisong

dm34343667 发表于 2012-3-3 16:32
修改MD5后 删除云qvm

你贴的被利用的本体，当然得阻止了，问题是不分青红皂白的阻止同目录内一切EXE


时间        操作        说明        次数
16:25:47        自动阻止        动态链接库劫持        2
详细描述：
进程：E:\应用程序\BINGDU\360CSE_5.2.0.520.EXE
动作：动态链接库劫持
路径：E:\应用程序\BINGDU\KwLogSvr.dll

XMonster

leisong 发表于 2012-3-3 16:37
你贴的被利用的本体，当然得阻止了，问题是不分青红皂白的阻止同目录内一切EXE

帖错了





不是所有都有

十送鸿钧

如果点立即清除，会怎么样？只清除dll还是连EXE一起清？如果只清除dll，清除之后，白EXE是否仍然拦截？

leisong

十送鸿钧 发表于 2012-3-3 16:56
如果点立即清除，会怎么样？只清除dll还是连EXE一起清？如果只清除dll，清除之后，白EXE是否仍然拦截？

点击清除只会清除病毒DLL，1F已经有说过了

唯我独尊

exe程序运行时会自动加载所在目录下的所有dll模块

junyangxie

具体逻辑，可能主防的同学也不会来普及。
这个请见谅。
而且MJ号也被封了。
但总体思路，还是从根本上取消dll的特殊地位。
只要能有效遏制住木马就是好方法。