过费尔动态防御

victorguo1234

虚拟机 XP 最新版病毒库 在样本去逛了一逛，只开动态防御的情况下，费尔的防御效果确实不错。主要测试了前些日子比较流行的白加黑网购木马系列。还是有一个样本过了动态防御，动态防御已开到最高
http://bbs.kafan.cn/forum.php?mo ... hlight=%CD%F8%B9%BA
黑dll费尔也没有入库，云鉴定为安全，我测试了两遍都没有拦截，大家有条件也来试一试，也许是我的虚拟机的问题。

尘梦幽然

这个病毒样本好久以前了，会不会已经失效？

victorguo1234

尘梦幽然 发表于 2012-8-15 13:33
这个病毒样本好久以前了，会不会已经失效？

重点不是入库和防这个样本，这个样本已经比较老了，没意义。重点是从这个样本看看动态防御是不是漏了哪些点，进而改进一下，很多白+黑费尔都拦下来了，测试过很多只有这个样本是完全没防下来并在C盘生成相应文件，还有另外一个样本只成功修改了组策略。

Filseclab

V8动态防御的全新架构是以程序片断为追踪单位而非进程文件，所以可以脱离云和库的情况下轻松应对白+黑威胁。当然这和检测普通威胁一样，需要发现它有连续的威胁动作时才会报警。你这个样本有白的部分吗，这样我们可以运行它测试出具体是什么原因没有认定它有害。

victorguo1234

Filseclab 发表于 2012-8-15 14:19
V8动态防御的全新架构是以程序片断为追踪单位而非进程文件，所以可以脱离云和库的情况下轻松应对白+黑威胁。 ...

我刚才又试了一下，还是防不了。他那个帖子里面有原样整包，我把地址给你贴过来吧http://www.kuaipan.cn/file/id_49137209005047810.htm

Filseclab

victorguo1234 发表于 2012-8-15 14:23
我刚才又试了一下，还是防不了。他那个帖子里面有原样整包，我把地址给你贴过来吧http://www.kuaipan.c ...

好，我们测试一下。

Flameocean

Filseclab 发表于 2012-8-15 14:31
好，我们测试一下。

网购木马和QQ粘虫你们目前似乎没有做好规则，你们朱总上传说了，正式版能强化这一块 吧

尘梦幽然

victorguo1234 发表于 2012-8-15 13:53
重点不是入库和防这个样本，这个样本已经比较老了，没意义。重点是从这个样本看看动态防御是不是漏了哪 ...

动态防御好像和行为分析有点关系。如果它已经没有危险行为（即已失效），则不会拦截。就像诺顿SONAR那样。

victorguo1234

尘梦幽然 发表于 2012-8-15 16:19
动态防御好像和行为分析有点关系。如果它已经没有危险行为（即已失效），则不会拦截。就像诺顿SONAR那样。 ...

其实这个网购木马系列的行为都差不多，到底有没有运行成功只要看看启动项和C盘生成的几个文件就知道了，有兴趣你可以试一下，这个木马在白+黑中白的数量上做了文章，具体为什么运行成功我也不太清楚

victorguo1234

Filseclab 发表于 2012-8-15 14:31
好，我们测试一下。

再来一个样本，是个老毒了，费尔已经入库，但是关掉实时监控以后过掉了动态防御
http://www.52pojie.cn/thread-156144-1-1.html