以今天样本区那个远控为例，其实火绒对未知白+黑样本并无拦截作用，望官方改进

显示全部楼层 · 发表于 2013-3-10 00:31:16

本帖最后由 vm001 于 2013-3-10 10:34 编辑

http://bbs.kafan.cn/thread-1493194-8-1.html
样本连接75楼火绒官人测试

因为直接运行母体动作太多，所以可被火绒的一些规则识破
那么我们就提出【白+黑衍生物】来看下
连接http://l4.yunpan.cn/lk/Q8SdJJmXBDLID

火绒是识别的，不过官方是关闭文件监控测试的，那么我也就关闭测试下
设置如下

然后运行样本，火绒提示联网，推荐允许，那么我们就允许

之后被远控，火绒再无拦截出现

希望官人改进....

显示全部楼层 · 发表于 2013-3-10 01:35:48

本帖最后由倾枫锝渔♂ 于 2013-3-10 01:38 编辑

你的火绒还是你的环境有问题？

再布一张图~ 主防有提示但是点的是允许~

显示全部楼层 · 发表于 2013-3-10 02:20:39

本帖最后由 li13911 于 2013-3-10 02:21 编辑

官人看到的话借地问一下防火墙和ESS的防火墙冲突吗？

PS：你这个啥意思，第一次没拦截，第二次拦截了？

显示全部楼层 · 发表于 2013-3-10 09:46:43

倾枫锝渔♂ 发表于 2013-3-10 01:35
你的火绒还是你的环境有问题？

不是我的环境有问题，是你没认真看我的帖子
运行母体，因为母体有自我复制随机命名的行为，所以火绒识别了，但是我们把白+黑衍生物提出来运行火绒会直接哑火...
本来作者可以直接拿衍生物出来行骗，不去做这么复杂的运行过程，而这样做是为了过360和金山

显示全部楼层 · 发表于 2013-3-10 09:58:46

估计严格模式也一样，从未加入防御策略？

显示全部楼层 · 发表于 2013-3-10 11:20:11

vm001 发表于 2013-3-10 09:46
不是我的环境有问题，是你没认真看我的帖子
运行母体，因为母体有自我复制随机命名的行为，所以火绒识 ...

╮(╯▽╰)╭ 所以你要说清楚啊~

显示全部楼层 · 发表于 2013-3-10 11:28:33

li13911 发表于 2013-3-10 02:20
官人看到的话借地问一下防火墙和ESS的防火墙冲突吗？

PS：你这个啥意思，第一次没拦截，第二次拦截 ...

还不如卫士+火绒~

显示全部楼层 · 发表于 2013-3-10 11:42:02

靠主防来防这个，压力不要太大。
如果黑dll“贪心”不要那么大，仅仅就“插”入主程序，
如果判定为恶意，这种行为不要太常见。用户不点死？

显示全部楼层 · 发表于 2013-3-10 16:12:20

很奇怪的的是你为什么要关闭实时监控。难道你认为实时监控关闭后火绒被过就说明漏了吗，还有安装你这个思路那么多杀毒软件只要关闭其中某项监控被病毒过了都要修改吗。官人已经说了实时监控是优选于行为的。只要能报就可以

显示全部楼层 · 发表于 2013-3-10 17:02:04

Ｔo_c_c_i_. 发表于 2013-3-10 16:12
很奇怪的的是你为什么要关闭实时监控。难道你认为实时监控关闭后火绒被过就说明漏了吗，还有安装你这个思 ...

这个你应该问火绒官人，他为什么关闭文件监控来测试未知病毒拦截？
同样我在模仿他的测试并且实验证明标题所说

[讨论] 以今天样本区那个远控为例，其实火绒对未知白+黑样本并无拦截作用，望官方改进

本帖子中包含更多资源

本帖子中包含更多资源