梦幻西游盗号木马，过360全套，无提示！

z13667152750

00315 发表于 2012-5-15 21:49
其实说了这么多，我给你点透吧，其实你的意思就是想给过360拉个金山来陪绑，结果没有过金山，而且强制关机 ...

你自己看看你45楼的说法是否有严重问题?

现在都已经入库了,但是360卫士的特征码实时监控不会管dll文件,但是360杀毒特征码会监控到,金山也是如此,测试无意义

z13667152750

00315 发表于 2012-5-15 21:49
其实说了这么多，我给你点透吧，其实你的意思就是想给过360拉个金山来陪绑，结果没有过金山，而且强制关机 ...

你提醒我了,360卫士的特征码实时监控根本就无视dll文件,因此即使你把这个dll丢到桌面,监控也不会管,只要你不进行体检或者木马查杀,就不会别360卫士发现

这也是360卫士并不是根据文件特征拦截该病毒的证据之一

特征码监控无视dll文件,但是却可以拦截该dll文件,说明这种拦截并不是依靠的常规特征码或者云特征码

00315

z13667152750 发表于 2012-5-15 21:52
你自己看看你45楼的说法是否有严重问题?

现在都已经入库了,但是360卫士的特征码实时监控不会管dll文 ...

不是有云端神马互交吗，白explorer加载黑fxsst.dll怎么就不会拦截了？

z13667152750

00315 发表于 2012-5-15 21:59
不是有云端神马互交吗，白explorer加载黑fxsst.dll怎么就不会拦截了？

透露一点:云端交互并不是拦截的dll加载这一行为

360卫士的云端交互和金山对白加黑的拦截原理不同,两种拦截方式各有优缺点

00315

z13667152750 发表于 2012-5-15 22:01
透露一点:云端交互并不是拦截的dll加载这一行为

360卫士的云端交互和金山对白加黑的拦截原理不同

你拦截啥也行是咋拦截也行，只要能在开机的时候拦截了加载就行，这标准够低了吧。

z13667152750

00315 发表于 2012-5-15 22:03
你拦截啥也行是咋拦截也行，只要能在开机的时候拦截了加载就行，这标准够低了吧。

360主防在通常情况下根本就不拦截dll加载,也不会对加载的dll进行校验,即使开机没有延时也不会拦截

不要拿金山的拦截逻辑来判断360

但是360杀毒的监控会直接杀该文件,因为已经入库

，就一个.

右键BD没杀，大胆双击 BD动态启发直接干掉 哈哈

00315

z13667152750 发表于 2012-5-15 22:07
360主防在通常情况下根本就不拦截dll加载,也不会对加载的dll进行校验,即使开机没有延时也不会拦截

不 ...

你不拦截这个你怎么保护系统？就凭借释放的时候拦截？你告诉我，一个程序释放到系统目录下一个dll在你未识别前你凭什么拦截？

z13667152750

00315 发表于 2012-5-15 22:12
你不拦截这个你怎么保护系统？就凭借释放的时候拦截？你告诉我，一个程序释放到系统目录下一个dll在你未识 ...

这就是云端交互的关键

关键是环境,其他的就不透露了

对于该样本,360云端交互拦截的就是dll文件的释放

但是这种拦截方式的缺点也很明显,需要云端实时搜集样本的特征(不是你认为的常规特征,是环境特征),而且这种环境特征不需要上传样本即可手机

00315

z13667152750 发表于 2012-5-15 22:16
这就是云端交互的关键

关键是环境,其他的就不透露了

晕，怎么被你绕的这个帖子里了，还以为你还在说这个http://bbs.kafan.cn/thread-1286945-8-1.html