360你太肯爹了，加了2个字就过掉云主防【虽然拦截了部分】

BootLoader

sxyuqiao 发表于 2012-6-29 23:50
主防什么概念？ 只要拦截自启动？ 不用拦截系统篡改么？

原来你连主防是什么概念都不知道？真该回去补补课再来发帖了

00315

BootLoader 发表于 2012-6-29 23:55
悲剧不悲剧不是凭你这完全不懂的一张嘴说的，

算了，你无视这个帖子吧，找点懂得人来吧

jefffire

sxyuqiao 发表于 2012-6-29 23:56
文件夹属性这个点应该拦截吧，比如Q管就是拦截的
你要想文件夹隐藏之类创建有毒LNK，这个就是U盘病毒，既 ...

Q管就别提了，好多默认“建议允许”，等于没拦截。而且文件夹属性修改，当然不能算病毒行为。
有毒LNK，需要特征码入库，否则哪里知道有毒？而且INK不属于PE文件，卫士本来就不查，要杀毒查。
能判断的就是同目录创建INK，再加上隐藏文件夹，但这需要联动判断。

jefffire

00315 发表于 2012-6-29 23:58
篡改属性不算恶意，而这个样本是利用attrib +s +h c:\windows  /s /d此类命令将属性改为不可选，这就是恶 ...

拦截这个命令，绝不是上策。
病毒随时被激活，但是又会被拦截，除非c盘根目录那个vbs有新花招。所以问题还是在修复上，修复问题也是防御的通病，不能保证没残留。

sxyuqiao

jefffire 发表于 2012-6-30 00:03
Q管就别提了，好多默认“建议允许”，等于没拦截。而且文件夹属性修改，当然不能算病毒行为。
有毒LNK， ...

Q管确实坑爹
为什么不直接结束wscript呢？ GD就直接结束了

00315

jefffire 发表于 2012-6-30 00:08
拦截这个命令，绝不是上策。
病毒随时被激活，但是又会被拦截，除非c盘根目录那个vbs有新花招。所以问题 ...

如果拦截以后病毒不可能被激活，这叫拦截成功，查杀的时候只要清除那些尸体就行，而就360这个拦截以后，病毒是随时可能被激活的，所以说属于活体病毒，而这时候靠查杀解决就说明拦截不成功。

z13667152750

主防是否拦截成功的标准不是系统中是否有残留的病毒,关键是这个病毒是否还可以正常运行造成用户帐号被盗等损失

实际上这个病毒360主防没有拦截全部行为,但是病毒已经被废掉大部分功能了,残留文件虽然没有被全部干掉,但是被再次激活时仍然会被拦截,剩下的可以靠特征码完成

另外360卫士去掉qvm的话,基本就只有靠md5云来进行运行监控了(云端交互虽然不是依靠md5,但是对这类样本应该没有对应特征),复制的文件等文件操作360卫士的监控根本就不会管

00315

z13667152750 发表于 2012-6-30 00:17
主防是否拦截成功的标准不是系统中是否有残留的病毒,关键是这个病毒是否还可以正常运行造成用户帐号被盗等损 ...

暴风1号是盗号木马吗？晕

xiaowuandliu

BootLoader 发表于 2012-6-29 23:47
很明显的，这样也算过主防那就没有不能过的主防了，以后显示一下字母也可以叫主防没拦截的行为了

连 ...

一直在怀疑别人，但是自己却拿不出什么技术来，可见你的技术水平。难道说360的不足就是金山粉丝吗？好悲剧的360粉丝

z13667152750

00315 发表于 2012-6-30 00:18
暴风1号是盗号木马吗？晕

360主防的一个缺点是只有拦截,没有结束进程

请问当你再次点击C盘的文件夹快捷方式时360的主防是否会再次拦截该vbs运行?

应该说是该vbs的修改注册表行为是否真正生效了,360未提示不代表真正未拦截