测试360在染毒环境中的查杀（对比）

vm001

样本帖子
http://bbs.kafan.cn/thread-1613958-1-1.html

这个样本金山和360都用md5入库了
所以我们修改dll的md5测试
样本连接
http://yunpan.cn/QXyG9a4NSEtVk （访问密码：a6d5）
解压密码1
（样本是远控，谨慎测试）
既然测试染毒后，那么就关闭监控，让样本跑起来，然后测试在病毒文件未识别的情况下查杀

看截图木马写入启动项（至于篡改了dns虽然没查出来这里就不测试他的修复了）
360查杀安全



二次扫描安全


对比一下金山的
关掉金山的kvm扫描修改md5后的同样未识别



不过金山的一键云查杀查到木马启动项并顺便揪出未识别的dll


到这里咱不要认为一次测试能说明什么，只是希望相互学习下优点
不过各位也不要要担心，在开启360或者金山的防护下可以完美拦截这个白+黑
金山的直接就拦截启动了，所以说dll没有识别不影响主防效果


然后咱们关闭金山的进程防护看下防黑拦截和360主防
（顺便说下，金山的可以这样做，360不行，360依靠进程状态识别好像，关了远控也不给拦截了，这点不知道能否改进）


开始运行，木马的每一步动作360都没放过---当然我们为测试全部允许




这步让过去，就是最后一步拦截远控


把360的拦截都允许，金山就会拦截远控


都可以完美拦截，表扬一下二位
最后看下各自的启发引擎，这回开启下kvm
我们来扫描下修改md5的dll



金山的修改md5前后的样本都杀
看下360的
修改前的解压就杀，修改后的无反应未识别



测试完毕，金山和360都是不错的安全软件，不过不对比可能看不出哪里不足，希望各自厂商认识到自身的不足.
还有另一个不足就是360主防的开机起作用时间要比金山的长，比如这个样本，如果开机马上运行，金山的防黑会拦截到，而360的主防还没有起作用，这个是不是一个在本地一个在云端的缘故？

LisaLan

黑产的工作很辛苦啊，经常熬夜

vm001

LisaLan 发表于 2013-8-16 06:23
黑产的工作很辛苦啊，经常熬夜

尼玛的这都能被你们说成...真是无语了
你问问@prawnliu @主动防御@leisong@淡淡玉...他们
我是黑产？
给360提建议改进的都是黑产？

imetoo

支持哈

a908499916

不错的测试

hejining

染毒环境中 急救箱如何...

handsomechen

支持楼主多多测试！

屋里头

测试是不错, 不过在360区把山山与360对比,这就是XX行为,能不带上黑帽子吗

245867683

   360杀毒这个结果
原来是开自家引擎，我用360sd就是朝着BD去的

vm001

屋里头 发表于 2013-8-16 09:36
测试是不错, 不过在360区把山山与360对比,这就是XX行为,能不带上黑帽子吗

其实这里金山也有不足，就是卡饭没他们的官人常驻，我都不知道喷给谁听