测试求助

vm001

样本例子http://bbs.kafan.cn/thread-1596402-1-1.html
墨家小子发这些锁屏样本，测试发现
360主防每次都能拦截，金山主防就是拦截了启动项，重启后还是被锁
结果发现样本在锁屏以后，会窜改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters
[ServiceDll]%SystemRoot%\System32\wbem\wmisvc.dll指向样本
这个行为不固定出现....这里正常情况下金山会拦截，但是锁屏以后就拦截不了，所以会失败..
现在我想知道的是，360能不能在锁屏以后拦截这一步，但是我的测试发现，在360的系统上样本没做这个动作，不知道是凑巧了还是怎么的，所以想知道360能不能拦截这一步，谁能给个截图看下。
谢谢了....

XMonster

云已经拦截了...

vm001

XMonster 发表于 2013-7-11 13:57
云已经拦截了...

我是说主防...这个样本只是个列子

XMonster

vm001 发表于 2013-7-11 14:03
我是说主防...这个样本只是个列子

  还要修改MD5测主防, 我这现在有点忙, 不空测了.

kfx13

楼主OUT了，这种锁屏，黑屏流，假关机写启动流我记得2-3年前360就拦截了。
不是没动作，而是默认阻止。

vm001

kfx13 发表于 2013-7-11 20:43
楼主OUT了，这种锁屏，黑屏流，假关机写启动流我记得2-3年前360就拦截了。
不是没动作，而是默认阻止。

正常情况下是可以拦截，但是现在是说这个动作是锁屏后出现，我并没有看到默认拦截，而且也不可能不提示就拦截了

rsin

kfx13 发表于 2013-7-11 20:43
楼主OUT了，这种锁屏，黑屏流，假关机写启动流我记得2-3年前360就拦截了。
不是没动作，而是默认阻止。

楼主，告诉你真相，这个技术是两年前10月3号左右出来的，当时叫黑屏过360防御。（我有发过样本，你可以找来看下）。然后大概6号，360开始云控制进行第一次修复（黑屏释放文件自动删除），然后第二次修复后彻底解决了这个防御死角。现在当然过不了了。金山当时能过，现在不了解

vm001

rsin 发表于 2013-7-11 21:42
楼主，告诉你真相，这个技术是两年前10月3号左右出来的，当时叫黑屏过360防御。（我有发过样本，你可以找 ...

嗯现在测试基本过不了，就是在安装有360的机子上不出现这个添加服务，所以看不到是什么拦截的，就是想看一下

rsin

vm001 发表于 2013-7-11 21:46
嗯现在测试基本过不了，就是在安装有360的机子上不出现这个添加服务，所以看不到是什么拦截的，就是想看一 ...

这个真没办法，不属于4d范围，

kfx13

vm001 发表于 2013-7-11 21:29
正常情况下是可以拦截，但是现在是说这个动作是锁屏后出现，我并没有看到默认拦截，而且也不可能不提示就 ...

不提示记录就拦截的情况很正常。
安全软件不是免杀测试器，没必要什么都显示出来。