360防御白加黑 启用的是卫士还是杀毒

CiInitialize

vm001 发表于 2013-9-16 19:52
再结合你上面的比喻，所以说不合适，就算是白+黑，或者说是纯白的程序加载一个灰驱动都会被拦截，驱动 ...

你怎么还在纠缠驱动，我说了启动项或服务也可以呀，驱动并没有特别严格，纯白的程序写灰启动项也是会拦截的，所以我才说你可以找白驱动或白启动项来测试

vm001

CiInitialize 发表于 2013-9-16 19:54
你怎么还在纠缠驱动，我说了启动项或服务也可以呀，驱动并没有特别严格，纯白的程序写灰启动项也是会拦截 ...

哦，我没纠缠这个，你上面一说，我还以为意思是白程序加载灰驱动360不拦截呢，所以才有了这个疑问

WDKLife

a445441 发表于 2013-9-16 19:40
没办法 数字粉就是这样的 有什么办法哦

Are you OK？他是数字粉？

CiInitialize

vm001 发表于 2013-9-16 19:56
哦，我没纠缠这个，你上面一说，我还以为意思是白程序加载灰驱动360不拦截呢，所以才有了这个疑问

跟目标（驱动或启动项)的灰白无关，上面在讨论操作进程（即白加黑进程）的事，所以没提目标这回事，实际上主防很多拦截是没有需要检查的目标的（比如进程注入拦截），所以白加黑光防目标也没用。
降低难度来说，白加黑进程如果能注入系统进程，这其实也可以算作白加黑绕过主防了（事实上不可能做到的因为有第三代白加黑防御系统）

面对白加黑的质疑，我经常提出很简单的例如上面的技术挑战，不过貌似一开始还喷得津津有味的帖主一看到要他们认错的挑战，都跑到不知道哪去了。唉

a445441

WDKLife 发表于 2013-9-16 19:59
Are you OK？他是数字粉？

说错了 应该是数字的MJ哦

WDKLife

a445441 发表于 2013-9-16 20:02
说错了 应该是数字的MJ哦

那你接受他的挑战把。

vm001

CiInitialize 发表于 2013-9-16 19:59
跟目标（驱动或启动项)的灰白无关，上面在讨论操作进程（即白加黑进程）的事，所以没提目标这回事，实际上 ...

其实这个认为过与被过的标准可能有分歧，比如我也是认为被过的，但是又可以说360主防没有被过--------
目前来说白+黑在360面前写启动项这个被过的可能性很小，目前我看到的几乎没有了，不过有个情况还会出问题，比如360在验证exe信息超时的时候，嗯，不过这个情况比以前好多了（起码我这里没出现了），另外就是木马作者的想法，因为启动项正常情况下会被360拦截，所以很多作者写出白+黑以后，在用户系统上执行后会验证系统上是否有360的存在，如果有就不写启动项了，接着是第二步，如果有360存在，就会直接利用静态来连接主控端，因为用动态域名的话被拦截的几率太大了...而用了静态IP，目前360只能依靠IP拉黑处理（协议不好提取的情况下），但是首次肯定是要被过的（未拉黑IP前），那么接着下来就是连接以后的防御，360这里的防御点就是键盘记录防御了，主控端记录不了那么这个远控就算是连接了也算是废柴了，这个确实就我的测试来说键盘记录的一般能防御（无视白+黑）
如果单纯看这些防御点，可以说360没有被过，如果说他成功连接了主控端（当然没做其他动作），这样也可以说360被过了...

CiInitialize

vm001 发表于 2013-9-16 20:13
其实这个认为过与被过的标准可能有分歧，比如我也是认为被过的，但是又可以说360主防没有被过--------
目 ...

还是要看能不能造成威胁吧，主防本来就是拦截恶意行为的，如果行为都没有，只是单纯联网，对于智能主防来说（非严格的出入站防火墙）是不算过的。
至于你说的第一步，这和木马检测到360就直接退出实际上是一样的。

vm001

CiInitialize 发表于 2013-9-16 20:15
还是要看能不能造成威胁吧，主防本来就是拦截恶意行为的，如果行为都没有，只是单纯联网，对于智能主防来 ...

嗯，所以说是对结果认为的标准有分歧

CiInitialize

vm001 发表于 2013-9-16 20:17
嗯，所以说是对结果认为的标准有分歧

当然有分歧，不是还有像某些双击两下就沾沾自喜乱喷，听到要承认错误就夹着尾巴跑了的人觉得没报毒就是过了嘛