V6 的反病毒不掃描信任文件列表內的文件

显示全部楼层 · 发表于 2013-1-26 21:15:14

本帖最后由 a256886572008 于 2013-1-26 21:16 编辑

1.首先對一個病毒，右鍵掃描。

2.結果是發現病毒。

3.再來，把這個文件加進信任文件看看。

4.重新掃描，居然無病毒。

5.實時AV監控也有這個情況。

6.貌似這樣可大幅減少誤報率。

显示全部楼层 · 发表于 2013-1-26 21:40:27

同时也不安全

显示全部楼层 · 发表于 2013-1-26 21:45:56

感觉毛豆太依赖白名单了

显示全部楼层 · 发表于 2013-1-26 21:51:13

其实毛豆这样并不是不安全，你入信任后毛豆的BB还是为分析每个程序的，发现不对还是对弹框的。

显示全部楼层 · 发表于 2013-1-26 22:11:53

xyhjxs 发表于 2013-1-26 21:51
其实毛豆这样并不是不安全，你入信任后毛豆的BB还是为分析每个程序的，发现不对还是对弹框的。

那個地方就連 BB 也信任。

显示全部楼层 · 发表于 2013-1-26 22:25:37

本帖最后由 a256886572008 于 2013-1-26 22:30 编辑

sanhu35 发表于 2013-1-26 21:40
同时也不安全

進一步測試

1.模擬一下，信任列表的文件被病毒給替換掉。

2.如下圖，連圖標都改了。

3.再來，掃描一下被改的文件。

會被抓

4.把原本的文件換回來看看，結果一樣不被抓。

5.那個列表會比對文件hash

显示全部楼层 · 发表于 2013-1-26 22:26:50

a256886572008 发表于 2013-1-26 22:11
那個地方就連 BB 也信任。

那个地方就是特权阶层，只要哪天不小心把病毒加为信任，病毒就可以逃离监控为非作歹，这个怕怕

显示全部楼层 · 发表于 2013-1-26 23:16:52

a256886572008 发表于 2013-1-26 22:25
進一步測試

1.模擬一下，信任列表的文件被病毒給替換掉。

替换掉，HIPS或者沙盘方面有没有什么区别呢

显示全部楼层 · 发表于 2013-1-26 23:35:17

本帖最后由 a256886572008 于 2013-1-26 23:43 编辑

sanhu35 发表于 2013-1-26 23:16
替换掉，HIPS或者沙盘方面有没有什么区别呢

有的，和 AV 一樣，會認文件hash。

換掉就變成不信任。

再換回來，一樣信任。

------------------
所以，官方論壇常出現，用戶抱怨信任的軟件更新之後，反而變不信任，得重新加入信任。

显示全部楼层 · 发表于 2013-1-27 00:17:33

a256886572008 发表于 2013-1-26 23:35
有的，和 AV 一樣，會認文件hash。

換掉就變成不信任。

如果可以设置效验和不效验就好了

[讨论] V6 的反病毒不掃描信任文件列表內的文件