对国内杀软的技术分析

kfx13

这也叫技术分析，怎么看起来和梦话一样。。。


楼主1来完全没有恶意程序分析的经验，不了解木马的运作方式。
以国内的环境，多步更容易被木马针对。而且有的地方多部未必合适多步。举个例子，允许注入系统进程了，写磁盘了。多步就意义不大了。例如Gapz，大部分国外的不仅多步拦不住，单步也拦不住。
另外360也是有多步判断的。金山可能也有。


楼主2来完全误解了国产安全软件的云分析。以360为例，新样本如果被上传，除极个别一般都能够在20秒以内作出响应（才不是5分钟呢）。而且我做过详细的实验，发现360并不依赖国外的扫描引擎结构做判断（以前我也以为是），即便vt结果接近0%也能判断。
我还用云鉴定器试过一些普通的易语言程序和一些没有任何恶意行为的易语言“界面钓鱼”程序（就是输入qq帐号密码就能刷qb的那种）。普通的易语言程序没有被误判，钓鱼程序一般都在半分钟左右响应了。。

楼主3来说360的进程防护只有驱动防护和进程启动防护，就属于扯淡扯到火星上去了，1楼楼主秀了两下对驱动的“认识”（好像很专业很技术的样子），到了3楼突然说出这种话了，一下就形成巨大反差了。

不过话说回来1楼已经那个啥了。。。引用一下：

shadown ssdt

不同的是shadown对应的是没有ui界面的程序！

飞轮海

用什么就信什么，我个人用着瑞星V16觉得挺好的。

shulun743

rsin 发表于 2013-7-19 13:15
最后一个槽点，木马群下杀软都趴下了→→杀软自保相同，实在忍不住了。
等mj吧。

你可查询一下或学习进程结束的实质？就知道进程是如何被结束的！！！在病毒加载驱动的情况下，病毒和杀软是同级对抗

小洪

shulun743 发表于 2013-7-19 14:57
你可查询一下或学习进程结束的实质？就知道进程是如何被结束的！！！在病毒加载驱动的情况下，病毒和杀软 ...

你觉得微点主防如何

245867683

有些内容有点道理，但貌似对360有贬低之意。其实360还是不错的。另外这样的文章能属于技术原创吗？

尘梦幽然

rtransformation 发表于 2013-7-19 13:36
费尔是因为这个才屹立不倒吗。。。。

好吧，，听我们诺顿区的一人说费尔误报比诺顿高不少，于是我还是决定坚守诺顿了

shulun743

kfx13 发表于 2013-7-19 13:47
这也叫技术分析，怎么看起来和梦话一样。。。

呵呵，来拍砖了！欢迎
1、病毒未加载驱动的情况下，行为不会失控，除非hips存在内核级BUG！
2、你所说的多步被针对但是真的，但和我的帖子有何关系？你未看明白我的意思，还是故意跑题？
3、注入和写磁盘？你也在说梦话吗？和我讲解的行为防御有何关系？我说的行为防御是为了讲解其工作原理，你和我说如何过行为，不是驴唇不对马嘴了吗？
4、5分钟那个事？拜托你好清楚我的意思好不好？5分钟是网友说从样本出生到死亡只有5分钟，我在反驳他呢！你看明白了吗？
5、至于云鉴定，我没说是参考vt类的多引擎扫描网并参考其结果啊？你在意淫吗？还是？搞不明罢了？我说的云鉴定体系不会技术那么差吧？居然要vt扫描？对比vt结果？
6、至于误报测试，不知是我没说明白，还是你理解？我的意思是升级毒库和云后要做误报测试，防止误杀！你怎么说易语言的事？你理解差了吧？
7、我说的AD方面只做了进程和驱动的防御，有点薄弱！！！你似乎又？？？

shulun743

小洪 发表于 2013-7-19 15:01
你觉得微点主防如何

很好，若能配合云就更好了
其挂钩很强，引发的蓝屏应该少不了，有得有失！！！
行为防御？感觉有点到头了，没有提升空间了

shulun743

245867683 发表于 2013-7-19 15:10
有些内容有点道理，但貌似对360有贬低之意。其实360还是不错的。另外这样的文章能属于技术原创吗？

绝无贬低之意，很尊重厂商的劳动，我这人说话比较直，所有不妥之处，或伤了某些人的自尊心，在这道个歉！实事求是，我体验就是这样的，至于是不是原创？？？我自己写的，答案已经告诉你了！