QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？

显示全部楼层 · 发表于 2012-3-9 15:05:15

6Zn 发表于 2012-3-9 14:59
改个文件名就加载不了了

木马作者会改好再放出来的。

显示全部楼层 · 发表于 2012-3-9 15:12:15

6Zn 发表于 2012-3-9 15:03
这样主防可能会因为没有收集到某个文件被利用加载病毒模块而被过,最后就要看对白名单文件危险动作的防护了, ...

已经测过了，禁运这一关放行后，后面真正的动作全无拦截

显示全部楼层 · 发表于 2012-3-9 15:13:10

钟馗见鬼发表于 2012-3-9 15:05
木马作者会改好再放出来的。

这个不是改好，而是换一个可被利用的白文件再放出来。可被利用的千千万万

显示全部楼层 · 发表于 2012-3-9 15:16:33

leisong 发表于 2012-3-9 15:12
已经测过了，禁运这一关放行后，后面真正的动作全无拦截

找点更敏感的动作比如加驱,或者直接干掉毒霸....要是这些动作都不拦,那只能说金山太相信白名单了....要知道有时候白名单的程序本身都可能会有问题

显示全部楼层 · 发表于 2012-3-9 15:20:10

显示全部楼层 · 发表于 2012-3-9 15:29:02

楼主再介绍一下360的做法，给大家做个科谱。

显示全部楼层 · 发表于 2012-3-9 15:59:44

悟心之道发表于 2012-3-9 14:24
有点意思
不如直接来个利用这种方法，有可能赞成危害的样本更有说服力。
PS：这个主题貌似在金山版块才合 ...

文件名查杀貌似也是跟数字学的。。话说这种帖子不分在金山区，大家都能明白到底是什么意思

显示全部楼层 · 发表于 2012-3-9 16:10:30

flyinbed 发表于 2012-3-9 15:59
文件名查杀貌似也是跟数字学的。。话说这种帖子不分在金山区，大家都能明白到底是什么意思

“也”？不如你来汇总一下还有哪些是学360吧。作弊？抱大腿？还是国际测试垫底？

建议也像楼主有测试有图片在来结论比较好哦。

缺点就是学的，金山是不会有缺点的，就算有不足也不能告知大家，不然就是黑了。

显示全部楼层 · 发表于 2012-3-9 16:11:17

暂时先不用它，看看大家的反应再说

显示全部楼层 · 发表于 2012-3-9 16:12:15

不发表见解了

漏洞神马都是浮云呗

[金山] QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？