关于白利用过360

kfx13

游客，如果您要查看本帖隐藏内容请回复

ps，论坛居然告诉我：抱歉，您没有权限使用 [hide] 代码.麻烦版主了
ps2, 图片已经加密，密码是我qq昵称小写。只为反馈给官人。“360主动防御"知道我qq昵称

CiInitialize

cmd自己就不是白程序

kfx13

CiInitialize 发表于 2013-5-21 22:12
cmd自己就不是白程序

你的意思是360没把cmd.exe当白程序处理？

我图片的意思不是说cmd.exe是不是白，意思就是无视360用父进程欺骗的方式可以启动一个白程序，cmd.exe换成其他的白程序都一样。

估计是360的一个小疏忽，没有拦截全面

zouguan508

kfx13 发表于 2013-5-21 22:16
你的意思是360没把cmd.exe当白程序处理？

我图片的意思不是说cmd.exe是不是白，意思就是无视360用父 ...

我仅转发VM那贴主要的观点，希望不会混淆原贴的意思。

所谓【白+黑】木马的白，其实不是说普通的白文件，而是指具有有效数字签名的，并有可能在广大安全厂商白名单的文件...而各大厂商如果没有白名单的话，结果是可想而是的，这里360也正好有着全国最大的白名单库...
那么再看360的ND防护，是依托于进程状态 黑  白  灰来进行拦截...如果没有这个基础，就动态域名拦截这一个就会造成很大的误报...
另外就是360是云端拦截，随时可以加黑一个域名..

一些木马黑客频繁利用360的白名单库钻空子，但是

如果白名单程序都拦截的话，那么可以说这误报估计要弄不住（不单指ND）...

360现在面临一个什么问题..
一 360强大的白名单库给用户带来了方便，同时也是自己的杀手..
二 由于一的问题，造成白+黑出来360是几乎不能在第一时间做到去白拦截
三 介于上2个问题，我曾经和官人提过，应该基于样本流行广度等的一个云端量的统计确认拦截时刻（据说已经在做）
四 基于三的一个自动化处理系统...（当然做这些没说说这么简单..哈哈哈）

wowocock的观点

白加黑处理的滞后性是不言而喻的，目前而言只能发现一个加一个，除非从体系上改革，否则很困难。强大的白名单库确实是把双刃剑。

CiInitialize

zouguan508 发表于 2013-5-21 22:25
我转发VM那贴主要的观点，希望不会混淆原贴的意思。

现在对于传输过来的常规白加黑基本已经无视了，WOW不了解主防所以才这么说

√×√×√√×

囧，这贴这贴我已经不知该怎么回复了 囧囧囧囧囧

@vm001 最不实用你怎么看？ 456哭了、暴风哭了、远控也哭了

kfx13

zouguan508 发表于 2013-5-21 22:25
我转发VM那贴主要的观点，希望不会混淆原贴的意思。

白加黑到底实用不实用，我很怀疑。我希望有统计数据证明白加黑确实让很多人中招

我在各个论坛上看到的白加黑大多数 文件名也没有做伪装，dll也没有做隐藏，我觉得写白加黑的你好歹把exe改个名，叫xx图片.jpg.exe吧.连文件名都不改
感觉像一些人写着玩，或者有些人单纯为了证明国产杀软比国外牛b而故意放出来的。

vm001

√×√×√√× 发表于 2013-5-21 22:28
囧，这贴这贴我已经不知该怎么回复了 囧囧囧囧囧

@vm001 最不实用你怎么看？ 456哭了、暴风 ...

本来不想回复的，被你给把我@进来了.嘿嘿
那就回一句吧---
在这个帖子中，我只看到了不懂装懂的人，你怎么看？哈哈哈........

CiInitialize

kfx13 发表于 2013-5-21 22:16
你的意思是360没把cmd.exe当白程序处理？

我图片的意思不是说cmd.exe是不是白，意思就是无视360用父 ...

想了一下，明白你的意思了。

√×√×√√×

vm001 发表于 2013-5-21 22:31
本来不想回复的，被你给把我@进来了.嘿嘿
那就回一句吧---
在这个帖子中，我只看到了不懂装懂的人 ...

囧，没看我的囧度结尾值都超过四个了么，绝无仅有的几次啊 囧