QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？

显示全部楼层 · 发表于 2012-3-9 14:26:44

本帖最后由 z13667152750 于 2012-3-9 14:27 编辑

leisong 发表于 2012-3-9 14:25
这话说来容易啊。千千万万个应用型软件，所有已知的？很容易收集么？

貌似国外的白文件也一样可以利用 ...

所以只能拦截已知的利用方法

貌似我没说明白意思.....

另外,只要exe中对加载的dll进行了校验,dll加载漏洞就无法利用了,所以存在这种漏洞的白文件exe其实是有限的

显示全部楼层 · 发表于 2012-3-9 14:36:03

z13667152750 发表于 2012-3-9 14:26
所以只能拦截已知的利用方法

貌似我没说明白意思.....

金山作为安软公司自己的文件都被利用了，一般应用软件会很注意安全问题么？暴风酷我，还是著名软件了，一般的软件DLL加载漏洞不计其数。

况且，这种漏洞修复了都没有用，只要历史上存在过漏洞就会被一直利用。

显示全部楼层 · 发表于 2012-3-9 14:39:36

TTTAOa 发表于 2012-3-9 14:26
话说用过猎豹感觉太慢就放弃了

论扫描速度的话，还可以，哪慢了？

显示全部楼层 · 发表于 2012-3-9 14:50:31

这个。。。
也太那个了。。。
“文件名”查杀？？？
改个文件名就过了？？？
那用户的安全从何而来？

显示全部楼层 · 发表于 2012-3-9 14:54:47

金山这个拦截策略没问题吧？

显示全部楼层 · 发表于 2012-3-9 14:57:31

leisong 发表于 2012-3-9 14:39
论扫描速度的话，还可以，哪慢了？

好吧，等我修改下原回复

显示全部楼层 · 发表于 2012-3-9 14:57:32

小紫英发表于 2012-3-9 14:54
金山这个拦截策略没问题吧？

这个拦截方式，由于它的特殊性，无法改文件名运行，也就比特征码拦截效率高点。
只是依然是滞后的需要事后收集的。

显示全部楼层 · 发表于 2012-3-9 14:59:31

钟馗见鬼发表于 2012-3-9 14:50
这个。。。
也太那个了。。。
“文件名”查杀？？？

改个文件名就加载不了了

显示全部楼层 · 发表于 2012-3-9 15:01:41

凝逸反毒8
的文件防御直接杀这些文件名

autorun.inf
lpk.dll
usp10.dll

显示全部楼层 · 发表于 2012-3-9 15:03:56

这样主防可能会因为没有收集到某个文件被利用加载病毒模块而被过,最后就要看对白名单文件危险动作的防护了,也许白名单危险动作也是直接放过的就惨了...

[金山] QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？