小白问下，关于白加黑的样本360套装能防的住么？

CiInitialize

vm001 发表于 2013-7-1 00:45
指透你的防御吧，你的ND拦截极少部分的协议分析，一部分是本地黑域名，一部分是云端后台IP拉黑，
启动项 ...

说你是瞎喷、说你的基于错误的测试乱喷，你总不承认。

白加黑启动项主防拦截靠的是第三代白加黑防御系统，这个我都科普过三回了，你既然12楼扯启动项， 我就揭穿你的胡扯和瞎喷到底：

不需要路径规则，也不需要exe去白，随便什么白加黑，DLL组合，无需去白（比如你可以拿QQ拿迅雷，这些总不能去白），无论放什么路径，启动项都可以拦截。

不服，你就拿样本，拿不出，趁早滚蛋。

另外说下ND那个，你对ND的猜测也完全不对，白加黑IP或者QQ空间上线，这都是去年早就出来的事了，只要灰样本能拦的，白加黑也能拦，就不说后面的多步主防之类的新技术，也早就有云端和本地协议识别和监控，这还用挠头？

别再使你那转移话题的伎俩2号了，赶紧发挥发挥你的瞎喷技巧，看看怎么把启动项这个板上钉钉的问题给喷过去吧

vm001

CiInitialize 发表于 2013-7-1 00:49
说你是瞎喷、说你的基于错误的测试乱喷，你总不承认。

白加黑启动项主防拦截靠的是第三代白加黑防御系 ...

再说一句，样本区就有，别人也测试过了，怎么又当运动员又要当裁判，是360的习俗了？
你就当我喷好了，自己就忽悠吧，你问问有多少人信，不过可以理解，360目前的防御也只能靠你吹一下了....

CiInitialize

vm001 发表于 2013-7-1 00:52
再说一句，样本区就有，别人也测试过了，怎么又当运动员又要当裁判，是360的习俗了？
你就当我喷好了，自 ...

能防不能防，信和不信不是靠你在这里无视事实瞎喷或者去样本去弄两个假的样本测试就能忽悠的。

裁判员是谁不重要，重要的是测试方法是否科学，能否重现。

只要测试样本的方法科学可行靠谱可重现，谁测都能证明事实。

相反的，样本都拿不出，完全靠着不科学的、无法重现的、没有证据的和没有事实的空口胡扯在这里天天瞎喷的，只能是无知和忽悠的表现，当然也不排除别有目的。

举个现实的例子，现在网购木马都是白加黑，360对能过主防的网购样本都是赔付的，而自从第三代白加黑防御上线后，仅仅通过白加黑能过主防有多少呢？一个也没有。

事实已经无情揭穿和粉碎了你的胡扯和瞎喷，你要继续为了不可告人的目的而空口瞎喷、意淫胡扯，那就继续死撑吧，记住你的名字：瞎喷帝。

vm001

CiInitialize 发表于 2013-7-1 00:55
能防不能防，信和不信不是靠你在这里无视事实瞎喷或者去样本去弄两个假的样本测试就能忽悠的。

裁判 ...

你以为你说过不了就过不了啊，测试的人多去了，知情的人多了去了
连我的IP段拉黑你们３６０又不是没干过....
为了体现拦截白+黑，连正常的程序报毒３６０也又不是没干过....
只不过有些东西你死切摆列的不承认罢了，严格的说你没勇气承认...不过也理解你，现在你只能是人身攻击一下了，脸一拉扯下皮，找些安慰了..在这里硬着头皮撑着，恐怕你自己心里都虚....

得了，说多了怕你受不了，我替你高喊下口号吧“３６０宇宙第一，ｍｊ宇宙第一”

CiInitialize

vm001 发表于 2013-7-1 01:17
你以为你说过不了就过不了啊，测试的人多去了，知情的人多了去了
连我的IP段拉黑你们３６０又不是没干过 ...

我刚才已经说了什么是科学的测试方法，怎么样解决“你说过得了，我说过不了”的怪圈的方法：

那就是拿样本出来，用科学的、可重现的测试方法事实和样本来说话（别再拿拉黑来误读这句话了，你那伎俩已经用烂了）

你是选择性无视呢，还是逻辑思维能力太低看不懂呢？

我本着善良的出发点，觉得你是因为两者叠加：看不懂所以选择性无视。

vm001

CiInitialize 发表于 2013-7-1 01:20
我刚才已经说了什么是科学的测试方法，怎么样解决“你说过得了，我说过不了”的怪圈的方法：那就是拿样 ...

我都和你说了几遍了就在样本去放着，这句话你听不懂？你自己继续耍赖吧

CiInitialize

vm001 发表于 2013-7-1 01:22
我都和你说了几遍了就在样本去放着，这句话你听不懂？你自己继续耍赖吧

样本区哪个样本是下载、解压了之后，靠白加黑让启动项拦截不了的？你不妨指出来地址。

vm001

CiInitialize 发表于 2013-7-1 01:24
样本区哪个样本是下载、解压了之后启动项拦截不了的？你不妨指出来地址。

昨天我就发了２个帖子，你看不见？帖子后面指出了问题你看不见？自己爬楼去...
PS，你应该明年来和我要今天上午的样本

z13667152750

li13911 发表于 2013-7-1 00:13
就是你说的老版本，我说会不会跟ghost系统有关，见啦好几次了，网吧里的好多都不报的。

优盘防护你不 ...

你确定网吧里XT成功加驱了？

网吧系统和家用系统完全不同

CiInitialize

vm001 发表于 2013-7-1 01:27
昨天我就发了２个帖子，你看不见？帖子后面指出了问题你看不见？自己爬楼去...
PS，你应该明年来和我要今 ...

看了下，你昨天和前天总共在样本区发了两个帖子：

http://bbs.kafan.cn/thread-1591207-1-1.html

http://bbs.kafan.cn/thread-1591651-1-1.html

两个都应该是456game

到你这个地址去下载：

http://www.vdisk.cn/456youxidating

先测第一个样本吧，这个：[新]2013年456游戏大厅完整版.exe，30号的。

360是9.2BETA

在虚拟机里下载完了（网盾报未知），然后运行，安装后双击桌面快捷方式

运行的是一个QQ浏览器的白利用 MD5:11573c11892b3de911d662f609a3e884   

写启动项，主防行为拦截，识别原因是识别了白加黑行为，而DLL非白，可以看出报的原因是非白的qqbrowserframe.dll

拦截如图：



为了确保是第三代白加黑防御系统拦截的（无须依赖任何路径、去白和云端规则），检查了下后台

发现了一条针对qq浏览器针对性DLL劫持识别规则，为了摆脱这个规则对实验的干扰，对这个规则加了一个特殊的放行规则，使得特殊情况下不会走这条针对性规则，这样就去掉了云端的识别干扰，单纯只测第三代白加黑防御的功能：

测试结果仍然是拦截的，图和图1一样，就不单独发图了。

然后，为了从反方向证明，这个拦截确实是通过边界防御识别的第三代白加黑防御拦截的，而即不是拉黑、也不是去白，也不是云规则或依赖路径

这里使用了一个实验方法：用xuetr在驱动层破坏第三代白加黑防御的数据，并移动木马的目录文件，等于说使第三代白加黑防御失效，然后再运行木马程序，看还能不能拦截：

结果如图，写启动项没有拦截，被MD报警（MD拦截层级比360后，如果MD拦截到说明被过）



所以从反面证明了这个拦截是基于边界识别的白加黑通杀，而不是依赖去白或云端规则，如果是依赖去白或云端规则，应该一直生效而不是在关闭了边界后就无法识别

最后，再做一个实验来证明并非路径干扰，或者通过路径来识别的规则，我们安装完了，将木马目录和木马程序都改名，改名叫c:\program files\common files\oooooo\ooooo.exe，再运行木马，看还拦截不呢？



结果不出意外，还是拦截的，如图，注意标红的地方，这就说明是边界防御一直在追踪木马程序进行白加黑识别，而不是通过什么拉黑、路径规则、去白之类的东西。