网购木马（八）

z13667152750

zmzcy 发表于 2012-3-27 19:21

通过360的日志分析,我认为360自动放行的原因是:
你在19:19:12运行了样本,360报了Trojan.Generic,你认为 这是特征码报毒,因此加了信任,然后在不到1分钟内再次运行这一样本,这时360自动放行了
但是你需要注意的是,当360报Trojan.Generic的时候,这是云主防报的,不是特征码,这时加信任的话,意味着360主防对其放行所有行为
也就是说,无论你测试多少次这个样本,360都会自动放行,不可能拦截,但是你测试其他网购样本时360又可以正常拦截

z13667152750

zmzcy 发表于 2012-3-27 19:21

通过360日志分析,我认为你的测试中360自动放行是因为你的测试方法有误:

可以看到19:19:12,360拦截了Trojan.Generic,我猜测你认为这是特征码报毒,所以你添加了信任,但是你不知道的是,Trojan.Generic并不是特征码报毒,是360云主防的拦截,这时添加信任意味着360主防对其信任,而不是特征码对其信任
但是如果360报的是win32/Trojan.XXX.XX的话,这时就是特征码报毒,如果你添加信任也仅仅是针对特征码添加的信任,和主防无关
我在帖子http://bbs.kafan.cn/thread-1256305-1-1.html的6楼\10楼\14楼已经通过测试验证了关于360信任逻辑的这个问题

wh15306202

杀了