小白问下，关于白加黑的样本360套装能防的住么？

显示全部楼层 · 发表于 2013-7-1 01:46:54

CiInitialize 发表于 2013-7-1 01:40
看了下，你昨天和前天总共在样本区发了两个帖子：

http://bbs.kafan.cn/thread-1591207-1-1.html

难道版本问题？我这里测试的杀毒自带的主防，只有%temp%下才可以拦截，解压后运行是放过的，帖子后面我也说了

显示全部楼层 · 发表于 2013-7-1 01:49:43

vm001 发表于 2013-7-1 01:46
难道版本问题？我这里测试的杀毒自带的主防，只有%temp%下才可以拦截，解压后运行是放过的，帖子后面我也 ...

%temp%？你看清我测得是什么了没

显示全部楼层 · 发表于 2013-7-1 01:53:23

CiInitialize 发表于 2013-7-1 01:49
%temp%？你看清我测得是什么了没

我是说我测的那个

显示全部楼层 · 发表于 2013-7-1 02:21:05

本帖最后由 CiInitialize 于 2013-7-1 02:27 编辑

vm001 发表于 2013-7-1 01:53
我是说我测的那个

一开始测得有点错误，发现后台还是有条针对性规则，不过没关系，处理了一下继续测试，补上了对比试验和一个新的实验方法，证明第三代白加黑防御的能力，更新贴子了。

我的这些实验步骤是科学而仔细的：使用了科学的测试方法，还通过改变不同的实验条件组合，以便测试在模拟真实环境、单元功能环境下和反向环境下的情况下的结果，来证明功能是否存在

实验步骤是透明而可重现的：测试的是公开的版本、你提供的文件，任何人都可以用同样的环境进行测试，重现此问题（包括绕过规则的方法，不过这里不宜直接公开，需要进行反向测试的，可以私信我提供方法）。

实验结果证明了360主防的第三代白加黑防御系统有效拦截了白加黑木马的攻击，而且是不依赖任何云端规则、不依赖任何云端白加黑识别、不依赖任何去白、不依赖任何路径规则等等，纯粹只靠本地的白加黑深入追踪系统，和单纯的文件黑白就实现了白加黑木马的防御，因此是先知先觉，自动识别，无须干预和蹲守维护的

这才是事实、才是真相，真理总是越辩越明而不是掌握在无视事实，不做深入探究就随口乱喷的人口中。

显示全部楼层 · 发表于 2013-7-1 02:27:10

CiInitialize 发表于 2013-7-1 02:21
一开始测得有点错误，发现后台还是有条针对性规则，不过没关系，处理了一下继续测试，补上了对比试验和 ...

现在我这里也拦截了，那么有个问题，如果dll被误判白的情况下会不会拦截了

显示全部楼层 · 发表于 2013-7-1 02:30:01

本帖最后由 CiInitialize 于 2013-7-1 02:32 编辑

vm001 发表于 2013-7-1 02:27
现在我这里也拦截了，那么有个问题，如果dll被误判白的情况下会不会拦截了

这个一开始就是拦截的，我看了一下，即便没有第三代白加黑拦截，这个白利用针对规则5月就有了，所以即便不用第三代，也能拦截，我刚才也通过去掉云端干扰的方法证明，只要是第三代的版本，不需要规则也能拦截。

DLL误判白当然不会拦截，这也和灰Exe样本的情况类似，如果一个灰样本（或者黑样本）Exe被误判白，那么也是拦截不了的。

第三代白加黑防御系统的原理就像以不变应万变，通过深入的系统行为追踪，将各种可能的白加黑都识别转化为灰样本，使其“无效化”，也就是从白样本降格为灰样本，接下来后面就看主防对灰样本的拦截能力了

显示全部楼层 · 发表于 2013-7-1 02:34:34

CiInitialize 发表于 2013-7-1 02:30
这个一开始就是拦截的，我看了一下，即便没有第三代白加黑拦截，这个白利用针对规则5月就有了，所以即便 ...

那么上午我第一次测试啥也没拦截，后来测试nd只能拦截域名解析，不能拦截直接连接IP，再后来测试nd都可以拦截却没拦截启动项，而现在无论怎么改都可以拦截....这个现象会不会又是受那个网络的影响？

显示全部楼层 · 发表于 2013-7-1 02:36:27

vm001 发表于 2013-7-1 02:34
那么上午我第一次测试啥也没拦截，后来测试nd只能拦截域名解析，不能拦截直接连接IP，再后来测试nd都可以 ...

如果你是用的修复了的网络的影响的版本，那么就没这个问题，那个问题应该是上周在Beta安装包中修复的，这周在放量中。

我用的360是今晚刚下的Beta版，为了防止你说云抽风，我将木马安装后做了个快照，重复实验了20次，都可以正常拦截

显示全部楼层 · 发表于 2013-7-1 02:39:01

CiInitialize 发表于 2013-7-1 02:36
如果你是用的修复了的网络的影响的版本，那么就没这个问题，那个问题应该是上周修复的。

我用的360是今 ...

我今天一直都用的是杀毒正式版带的主防测试的，不知道这个是不是修复了的
另外前几天我这里出现的虚拟机测试就可以拦截，不用传输直接托进去就可以拦截，而实机测试就是通过传输的也拦截不了，这个估计是什么原因？

显示全部楼层 · 发表于 2013-7-1 02:42:01

vm001 发表于 2013-7-1 02:39
我今天一直都用的是杀毒正式版带的主防测试的，不知道这个是不是修复了的
另外前几天我这里出现的虚拟机 ...

虚拟机测试就可以拦截不用传输时就是因为有我说的那个云端规则，对这个已知的白加黑早已经识别了，所以还不需要动用第三代白加黑防御（需要依赖边界）
至于你实机什么情况，我就不清楚了，最好用360卫士来测，或者用卫士+杀毒组合，保持版本更新。

[讨论] 小白问下，关于白加黑的样本360套装能防的住么？