真正的文件名防御

xyc5238207

gdata杀！！

zyb521

LockeHIPS 发表于 2012-4-9 14:12
呵呵，这个我也可以明确告诉你，不是云端交互报的，你不是说要改改就过吗，你拿误报有什么意思呢。吹不 ...

你看清楚了？？？那个图明显是别的文件改名了，然后被提示报毒，不是误报的话，就真是文件名报毒了...........

追影子的十三

郑伟用户 发表于 2012-4-9 14:06
继续吹，再给你个误报

请问360联网正常吗？断网的话360经常有些莫名其妙的问题的。

小丑鱼ZZW

想问楼主一个问题，如果说拿一个木马或者病毒，改成QQ.exe 之后图标也换成QQ的，双击之后360会拦截吗？假设前提是本身360是不杀该样本的...

6Zn

小丑鱼ZZW 发表于 2012-4-10 23:58
想问楼主一个问题，如果说拿一个木马或者病毒，改成QQ.exe 之后图标也换成QQ的，双击之后360会拦截吗？假设 ...

应该不拦截吧,不知道我说的对不对?如果它杀那它就厉害了

z13667152750

是否会造成误报?

是否对常规免杀非常有效?

z13667152750

zyb521 发表于 2012-4-9 20:03
你看清楚了？？？那个图明显是别的文件改名了，然后被提示报毒，不是误报的话，就真是文件名报毒了...... ...

报的是特征码

楼主的测试只能说明360的白名单和文件名有关

至于360为什么没有拦截真正的病毒,原因MJ早就解释了,和360的本地漏洞有关,自动升级并重启后即可解决

z13667152750

zyb521 发表于 2012-4-9 20:03
你看清楚了？？？那个图明显是别的文件改名了，然后被提示报毒，不是误报的话，就真是文件名报毒了...... ...

你随便找系统文件试下呗

不过你可以先考虑下,为什么对被病毒利用的360backui文件360没有报毒?

原因很简单,这个文件有数字签名,数字签名一直都是杀毒软件白名单的重要组成部分

再想想360和金山以前宣传的所谓"修复引擎",就是对系统文件和常用软件文件进行白名单校验,只有发现对于文件名文件被修改,就提示进行文件替换

我认为360这种处理逻辑最可能的原因是:360将以前的"修复引擎"加入了云监控,对系统文件和常用软件文件在监控中进行白名单校验,只要发现特定文件名的文件和其白名单哈希不符合就报毒

至于系统文件被改名后不会被误报,原因也很简单,签名验证优先与这种文件名加白名单校验,因为系统文件有签名,因此就直接跳过云监控

z13667152750

6Zn 发表于 2012-4-11 13:43
应该不拦截吧,不知道我说的对不对?如果它杀那它就厉害了

这么说免杀360有这么简单?

如果真这么简单的话,为什么卡饭出现了几个利用360本地漏洞过360的样本,不是直接改个文件名就可以过360了吗?这么费劲找360其他漏洞干什么?

LockeHIPS

z13667152750 发表于 2012-4-12 13:29
这么说免杀360有这么简单?

如果真这么简单的话,为什么卡饭出现了几个利用360本地漏洞过360的样本,不是 ...

总算看到个逻辑能力正常的。。。