梦幻西游盗号木马，过360全套，无提示！

00315

z13667152750 发表于 2012-5-15 21:04
你说的是你21楼的截屏吗?

是啊，如果是这个样本入库，那直接报这个样本得了，何必去报那个dll呢

z13667152750

00315 发表于 2012-5-15 21:05
是啊，如果是这个样本入库，那直接报这个样本得了，何必去报那个dll呢

因为样本没有针对金山特征码免杀,或者金山云捕获了这个dll

而且在你的21楼之前也有人截图360拦截成功

00315

z13667152750 发表于 2012-5-15 21:06
因为样本没有针对金山特征码免杀,或者金山云捕获了这个dll

而且在你的21楼之前也有人截图360拦截成功 ...

那要不让金山就算识别了也别报？陪着360被过？

z13667152750

00315 发表于 2012-5-15 21:08
那要不让金山就算识别了也别报？陪着360被过？

再看了下你的截图,根本就是金山的本地特征码报的,云都算不上,更不用说主防了

而且你的理论很有趣,我只是说明并非是金山未入库,你的说法有误

另外问下,你是否安装了金山的增强库?所以另外有人测试金山未拦截,你的金山却拦截了

00315

z13667152750 发表于 2012-5-15 21:11
再看了下你的截图,根本就是金山的本地特征码报的,云都算不上,更不用说主防了

而且你的理论很有 ...

要不说你们不细看呢，第一这个dll在样本发出前就已经被毒霸识别，而且本地流行库就有特征，根本不需要云，第二，说没拦截那位同学的截图，你可以细看，毒霸进程管理器已经识别有危险模块加载，所以正常情况下不可能不拦截，除非是因为那个同学装着360，影响了毒霸的防御，而且这个动作金山也好360也好，都不可能完美防御，360也照常是文件识别，试问释放一个dll到Windows目录下在你没有识别为黑之前你凭啥拦截，而这里如果放过了，重启计算机后，毒霸有开机抢杀，可能还会抵挡一下，而360因为主防在短时间内不起作用，那可就悲剧了。

落寞V大

小A不报，金山kill

z13667152750

00315 发表于 2012-5-15 21:21
要不说你们不细看呢，第一这个dll在样本发出前就已经被毒霸识别，而且本地流行库就有特征，根本不需要云， ...

第一这个dll在样本发出前就已经被毒霸识别

这同样是入库,只要是引擎识别就是入库,不过是样本发出前还是发出后

金山的本地引擎弱是公认,只能说这个样本刚好没有将释放的dll文件进行针对金山本地引擎的免杀而已

而且360同样是根据文件识别的这种说法,只能说你不了解360的云端交互的原理,360确实可以利用云端快速识别释放到windows目录的dll文件是否正常,关键是这种识别的速度远超常规的云端入库速度,因为它根本就不是基于某一个特定文件来判断,也不需要上传特定样本

00315

z13667152750 发表于 2012-5-15 21:29
第一这个dll在样本发出前就已经被毒霸识别

这同样是入库,只要是引擎识别就是入库,不过是样本发出前还 ...

您自己继续神话吧，该说的我也说了。
这么说吧，这个dll的特征前2个月就被by版主和天月捕获了。

z13667152750

00315 发表于 2012-5-15 21:33
您自己继续神话吧，该说的我也说了。

其实同样的话我也想送给你

我开始只是想说明,金山拦截这个样本是因为入库了,特征码可以识别

你所谓的 "在毒霸未入库前，病毒模块就被毒霸蓝心识别，所以未知进程或者白进程加载黑dll会被拦截"这种说法明显是错误的

金山不可能对所有的dll都进行白名单检测,这不现实

00315

z13667152750 发表于 2012-5-15 21:36
其实同样的话我也想送给你

我开始只是想说明,金山拦截这个样本是因为入库了,特征码可以识别

其实说了这么多，我给你点透吧，其实你的意思就是想给过360拉个金山来陪绑，结果没有过金山，而且强制关机动作金山也是拦截的，而且你自己可以做个测试，把这个dll放到Windows目录下，然后重启计算机，看看还拦截病毒模块加载不，测试就这么简单，防御不防御一看就清楚。