说360不行，估计觉得委屈，现在看看这个活体远控木马怎么过360--36楼官人已经承认问题

显示全部楼层 · 发表于 2012-10-29 17:48:28

vm001 发表于 2012-10-29 17:42
论坛很少去，360目前才14级，和这个有啥关系

和这个没关系

显示全部楼层 · 发表于 2012-10-29 19:23:08

楼主，能在沙盘里测试这个样本么

显示全部楼层 · 发表于 2012-10-29 19:33:23

测试辛苦

显示全部楼层 · 发表于 2012-10-29 19:44:43

3801187 发表于 2012-10-29 16:49
开的话有时候会拦截远控的，如果不开相当于360的功能没有全部打开，你以前不知道么？

局域网防护是拦截Arp攻击，和拦截远控没有半毛钱关系

显示全部楼层 · 发表于 2012-10-29 20:22:06

支持技术测评，但我还是认为不可能数字不可能换个名就不杀了了吧。。。

显示全部楼层 · 发表于 2012-10-29 20:24:04

您好, 可以重现这个问题, 这里看起来确实有点问题. 我们检查下逻辑. 应该是有Bug在里面.
谢谢您的测试.
另外: 您的测试思路确实不错. 适合做职业的测试人员 ^_^. 考虑下?

显示全部楼层 · 发表于 2012-10-29 20:28:42

yangjichao12346 发表于 2012-10-29 20:22
支持技术测评，但我还是认为不可能数字不可能换个名就不杀了了吧。。。

对，单纯换名是不可能的，帖子前面就说过
从表面看，数字用了文件名匹配文件路径加以验证dll信息，通过他们的关系链来拦截这类。
而我破坏了他这种关系链（移动了文件路径，修改文件名，修改dll信息）
所以出现这种能查杀不一定能拦截的现象（因为如果exe不在他的高危行为库，没有哪款杀软会验证加载的dll的）
-----------------------------------------
不过我的理解也可能是错误的，
但是这种方法在某些场景下就可以过数字对于白加黑的防御
另外这个样本也说明防御黑客拦截的能力数字不行

显示全部楼层 · 发表于 2012-10-29 20:31:14

360主动防御发表于 2012-10-29 20:24
您好, 可以重现这个问题, 这里看起来确实有点问题. 我们检查下逻辑. 应该是有Bug在里面.
谢谢您的测试.
...

赞一下官人，勇敢承认这种缺陷，产品才会进步

显示全部楼层 · 发表于 2012-10-29 20:55:11

本帖最后由 tjh0429 于 2013-7-14 16:18 编辑

原帖编辑掉！

显示全部楼层 · 发表于 2012-10-29 23:48:15

本帖最后由 22667999 于 2012-10-29 23:53 编辑

vm001 发表于 2012-10-29 20:28
对，单纯换名是不可能的，帖子前面就说过
从表面看，数字用了文件名匹配文件路径加以验证dll信息，通过他 ...

另外: 您的测试思路确实不错. 适合做职业的测试人员 ^_^. 考虑下?

看来工作人员给你抛出橄榄枝了哦。

以前360区的leisong就被奇虎公司招去了，估计现在也在做病毒测试吧。

不知道楼主可有此意向

[病毒样本] 说360不行，估计觉得委屈，现在看看这个活体远控木马怎么过360--36楼官人已经承认问题