查看: 2851|回复: 12
收起左侧

[讨论] 管家云何时可以进入压缩包扫描

[复制链接]
小柯安全
发表于 2013-5-8 14:45:20 | 显示全部楼层 |阅读模式
今天在测试时发现管家还无法进入压缩包扫描 解压本来可以识别的样本压缩一下就变成安全了 那么如果加密自解压类型样本管家是否毫无防御能力呢
流星街
发表于 2013-5-8 18:33:41 | 显示全部楼层
同感...自稱專業殺軟卻不能掃描壓縮包...
li13911
发表于 2013-5-20 11:47:44 | 显示全部楼层
本帖最后由 li13911 于 2013-5-20 11:53 编辑

官方解释:下载的时候会解压扫描,但是不会扫描非PE,但是解压后扫描的话,本地引擎会参与到对非PE的扫描逻辑。

你可以找个加密自解压的包试试,只要一释放,会被监控到的。


    PS:欢迎归队,听说有大红包!






    Mozilla/5.0 (Windows NT 5.1; rv:20.0) Gecko/20100101 Firefox/20.0  (zh-CN)
    —— 新浪网天气信息 地球上的某个城市:5月20日08:00发布 
    —— 今天星期一(5月20日) 晴 33℃~20℃ 东风 微风   
    —— 明天星期二(5月21日) 晴 36℃~21℃ 东风 微风
    —— 发帖时间:现在是2013年05月20日 第2季度 星期一 11时48分07秒571毫秒

    —— 骄傲地飞翔着的天气尾巴!签名!!!
    箭头2003
    发表于 2013-5-26 20:18:18 | 显示全部楼层
    掌握不了这技术呗
    Flameocean
    发表于 2013-5-27 00:04:51 | 显示全部楼层
    说白了云不能解包 小红伞本地能解包,就这么简单
    li13911
    发表于 2013-5-27 10:00:42 | 显示全部楼层
    Flameocean 发表于 2013-5-27 00:04
    说白了云不能解包 小红伞本地能解包,就这么简单

    其实可不一定吧,只不过是策略问题,可以本地解包然后再上传云扫描,下载鉴定就是这么干的。而扫描不扫描压缩包,是设计的策略问题吧。







      Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0  (zh-CN)
      —— 新浪网天气信息 地球上的某个城市:5月27日08:00发布 
      —— 今天星期一(5月27日) 多云转阴 30℃~18℃ 东风 微风   
      —— 明天星期二(5月28日) 小到中雨 25℃~15℃ 南风 微风
      —— 发帖时间:现在是2013年05月27日 第2季度 星期一 10时01分07秒585毫秒

      —— 骄傲地飞翔着的天气尾巴!签名!!!
      li13911
      发表于 2013-5-27 10:01:45 | 显示全部楼层
      箭头2003 发表于 2013-5-26 20:18
      掌握不了这技术呗

      其实我们平常用的云鉴定已经解包了,至于扫描不扫,是引擎设计策略问题







        Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0  (zh-CN)
        —— 新浪网天气信息 地球上的某个城市:5月27日08:00发布 
        —— 今天星期一(5月27日) 多云转阴 30℃~18℃ 东风 微风   
        —— 明天星期二(5月28日) 小到中雨 25℃~15℃ 南风 微风
        —— 发帖时间:现在是2013年05月27日 第2季度 星期一 10时02分11秒67毫秒

        —— 骄傲地飞翔着的天气尾巴!签名!!!
        Flameocean
        发表于 2013-5-27 13:14:44 | 显示全部楼层
        li13911 发表于 2013-5-27 10:00
        其实可不一定吧,只不过是策略问题,可以本地解包然后再上传云扫描,下载鉴定就是这么干的。而扫描不扫描 ...

        根本就不是你说的那样,云没有卖解包的给你,所以你必须本地解包,才能鉴定,就这么简单
        virusscan
        发表于 2013-5-27 14:13:50 | 显示全部楼层
        云直接解包?怎么解,上传后后台解?这完全不如在客户端由引擎来解。

        如果哪个云对于压缩的文件直接报毒了,要么是本地解包后云查直接对压缩包报毒,要么是把压缩包入库,没有实质意义。

        只要解压到本地时云查就可以了。至于自释放的如果会漏掉那就是管家的漏洞了。
        li13911
        发表于 2013-5-27 19:39:15 | 显示全部楼层
        自释放的只要病毒出来,管家会根据监控级别拦截的,最低级别的会在运行加载的时候拦截







          Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0  (zh-CN)
          —— 新浪网天气信息 地球上的某个城市:5月27日17:20发布 
          —— 今天星期一(5月27日) 多云转阴 30℃~18℃ 东风 微风   
          —— 明天星期二(5月28日) 小到中雨 25℃~17℃ 西风 微风
          —— 发帖时间:现在是2013年05月27日 第2季度 星期一 19时39分41秒701毫秒

          —— 骄傲地飞翔着的天气尾巴!签名!!!
          您需要登录后才可以回帖 登录 | 快速注册

          本版积分规则

          手机版|杀毒软件|软件论坛| 卡饭论坛

          Copyright © KaFan  KaFan.cn All Rights Reserved.

          Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:11 , Processed in 0.129737 second(s), 16 queries .

          卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

          快速回复 客服 返回顶部 返回列表