我对360云响应机制的理解以及突破的吐槽............人工加长，置顶.............

CiInitialize

rsin 发表于 2013-8-10 20:36
这个不知道，但是我表达的意思是手动运行那个病毒的话，是不会拦截的

快捷方式的话，边界来的行为应该是有办法拦截的

CiInitialize

rsin 发表于 2013-8-10 20:36
这个不知道，但是我表达的意思是手动运行那个病毒的话，是不会拦截的

查了下，这个可能是样本加白了

CiInitialize

rsin 发表于 2013-8-10 20:36
这个不知道，但是我表达的意思是手动运行那个病毒的话，是不会拦截的

二连了

vm001

CiInitialize 发表于 2013-8-11 09:24
查了下，这个可能是样本加白了

嗯，你看每次我俩一说问题就吵，这里也就是我一直和你说的，360对白+黑的防御是自动的不假，我就是想如果dll也被判白的时候主防还能不能拦截，这是一个问题，随着就是下一个，关于这一点dll有没有判白的情况？对第三点就是我这边测试虚拟机上能拦截的为什么会出现实机不拦截的现象，这个是否和云端查询超时有关系，如果有你们准备如何解决？

rsin

vm001 发表于 2013-8-11 20:28
嗯，你看每次我俩一说问题就吵，这里也就是我一直和你说的，360对白+黑的防御是自动的不假，我就是想如果 ...

是的，dll错误加白现在是比较容易的，有这个可能。查询超时也是经常发生的

rsin

CiInitialize 发表于 2013-8-11 09:24
查了下，这个可能是样本加白了

不加白手动运行也是不拦截的，还有，真的是加白了吗，还是只是表示暂无风险

kfx13

rsin 发表于 2013-8-11 21:41
是的，dll错误加白现在是比较容易的，有这个可能。查询超时也是经常发生的

dll错误加白怎么可能很容易呢？你开玩笑吧。倒是把dll做点处理让其被判断成非pe倒是可能大点。
查询超时我一次没碰到，要知道我网络下载速度只有250K.

kfx13

rsin 发表于 2013-8-11 21:42
不加白手动运行也是不拦截的，还有，真的是加白了吗，还是只是表示暂无风险

你这人太虚伪了。昨天问你要两个样本玩，你说一个自己找不到了，一个PM不理我。现在找不到的那个又开始测的那么起劲，骗我。。。。。

jefffire

kfx13 发表于 2013-8-11 22:20
dll错误加白怎么可能很容易呢？你开玩笑吧。倒是把dll做点处理让其被判断成非pe倒是可能大点。
查询超 ...

错误加白也不是没可能，我就上报过一些。
查询超时和网速没关系，关键是和360服务器的通讯包括中继节点是否顺畅。我这里100M光纤，上国内百度文库照样卡。

kfx13

jefffire 发表于 2013-8-12 01:11
错误加白也不是没可能，我就上报过一些。
查询超时和网速没关系，关键是和360服务器的通讯包括中继节点是 ...

姐夫看来是一如既往的汗死人啊。

要我说，偶尔把exe错误加白是正常的，像dll错误加白就可能性小太多了。你那是搞错了。

第一，dll判定白一般是人工进行的，没有exe不会轻易给他加白，有exe也未必会加白。这就是你会看到很多时候一个软件安装包和主程序exe都在白名单，其他dll并不在白名单。云端的白名单里面我估计不会有太多的dll。而白加黑木马的dll是特制的dll，进入白名单就更稀罕了。

第二，exe的话可能可以通过走不同流程藏点猫腻之类的欺骗的方法，你一个白加黑的dll怎么弄？

先制作一个软件安装包，这个安装包会释放这个dll，然后等上3个月让这个软件广为流行，然后提交鉴定，还要指望人家把你这个安装包释放的dll也一并加白？

抑或提交一个误报，请求加白解除误报？可是白加黑的黑dll是很明显的，没那么好骗。。

第三，至于其他情况，比如非黑的dll又去解密读取什么配置文件执行什么东西的，或者dll就不是可执行文件。那就不是dll被错误加白的问题了，顶多算个白dll被黑利用了。这种时候去不去白看情况就是。

至于你说的通讯是否顺畅的问题，你说的对，我只是为了反驳某些扯淡观点而反驳，于是顺口找个理由，结果你就认真了。哈哈，你们不了解我的思维。
我这也叫引蛇出洞，你看，你们这些专业的”大学生“就出来反驳我了。。。。。