一个火绒主防无法拦截的样本

落花有你

原来是这样的子的。。。。。。。

uglee

Qutianshang 发表于 2014-2-26 17:24
微点防火墙阻拦，但是他改了一个账户。开着影子看不出来，等会虚拟机试试。微点被过，开机加了密码。[/back ...

没看到你的提示啊，，今天换了微点，结果被搞了。账户名都被改了，费尔只是重启，然后隔离了这个程序。。发现国内的杀软不是朝着正常的方向在走。正常走，可能竞争不过国外的杀软吧。微点就算用的行为防护也太差了点吧。

Qutianshang

uglee 发表于 2014-2-28 18:14
没看到你的提示啊，，今天换了微点，结果被搞了。账户名都被改了，费尔只是重启，然后隔离了这个程序。 ...

微点对这种加开机密码的不大敏感，我试了好几个都被过。除非是已经上报入库的，要不然还真没好办法。好在我c盘在影子里面，到是不用太担心这个。

uglee

Qutianshang 发表于 2014-2-28 18:41
微点对这种加开机密码的不大敏感，我试了好几个都被过。除非是已经上报入库的，要不然还真没好办法 ...

幸运的是费尔也未能幸免，在另外一个机器上测试，费尔也被改了密码。第一次运行，费尔还是不拦截。第二次才拦截，管理员的用户名已经被修改了。。用费尔还蓝屏，国产的这几个没买引擎的，基本上是靠主防的不靠谱啊。不折腾了，换了，还有没买，要不也没用的。。最起码ess可以直接干掉。

Qutianshang

uglee 发表于 2014-2-28 18:45
幸运的是费尔也未能幸免，在另外一个机器上测试，费尔也被改了密码。第一次运行，费尔还是不拦截。第二次 ...

现在这种加开机密码的太多，看来是吃到了甜头。我在别的地方看到几个样本，居然是一个人做的。我搜了一下他的qq，好嘚瑟的一个小毛孩。

uglee

Qutianshang 发表于 2014-2-28 18:48
现在这种加开机密码的太多，看来是吃到了甜头。我在别的地方看到几个样本，居然是一个人做的。我搜了一下 ...

ess直接可以删除。可能是入库吧，还有ess有文件保护，关键文件还是可以放得住的。

uglee

Qutianshang 发表于 2014-2-28 18:48
现在这种加开机密码的太多，看来是吃到了甜头。我在别的地方看到几个样本，居然是一个人做的。我搜了一下 ...

ess直接可以删除。可能是入库吧，还有ess有文件保护，关键文件还是可以放得住的。

Qutianshang

uglee 发表于 2014-2-28 18:54
ess直接可以删除。可能是入库吧，还有ess有文件保护，关键文件还是可以放得住的。

ess占用怎么样，我的小本配置太差，恐怕跑不起来

uglee

Qutianshang 发表于 2014-2-28 18:56
ess占用怎么样，我的小本配置太差，恐怕跑不起来

占用不算小，但是不卡机，eav也可以防住这个。另外测试了，dw，md，毛豆cis（全套）7，pf防火墙，全不防这个。看来一般的hips都不防这一块。国内的这几年还没买引擎的杀软总是宣传一些没必要的技术什么的，其实是些hips加上病毒库，做的真是不好。390那些软件倒是没问题了，小动作太多了。。


装这个帖子九楼的企业版4.2,很多模块可以升级到14年的版本。4.2的占用很小，该有的也都有了，那个企业版模块可能升级的比较新，家庭版没测试过模块能升级到哪年。我用的4.2 eav be测试的，没有开启发。解压就拦截了。

http://bbs.kafan.cn/thread-1690936-1-1.html

Qutianshang

uglee 发表于 2014-3-1 09:33
占用不算小，但是不卡机，eav也可以防住这个。另外测试了，dw，md，毛豆cis（全套）7，pf防火墙，全不 ...

你的电脑里装了多少软件啊要是我这样，估计早就废了。390新出的那个xp专版感觉还行，我看中他的沙箱了。可惜网上那些独立版，都启动不自来