这个是误杀还是有什么猫咪啊？

langziowen

为什么扫描一次以后 下次在更新了又会出现啊

lmw8023zz

不玩腾讯游戏 不过看情况应该就是误杀

jefffire

lmw8023zz 发表于 2014-9-11 09:08
不玩腾讯游戏 不过看情况就是误杀

http://bbs.kafan.cn/forum.php?mo ... 16&pid=32623882
诺顿杀了三国杀的游戏就是可能偷窥隐私。360杀一个残留项就是误杀。
干的漂亮。

lmw8023zz

jefffire 发表于 2014-9-11 09:31
http://bbs.kafan.cn/forum.php?mo ... 16&pid=32623882
诺顿杀了三国 ...

从诺顿的行为看得出不是云信誉杀的，用户数只有不到5名，之前却一直用的好好的。所以很可能是行为分析杀的。至于360这种，连下载工具记录剪切板都能报为键盘记录器的高端软件，这种行为真的是超凡脱俗，我大宇宙第一跳出三界外，不在五行中，我等确实理解不了。所以有什么言论不当的地方，还请见谅。

jefffire

lmw8023zz 发表于 2014-9-11 09:37
从诺顿的行为看得出不是云信誉杀的，用户数只有不到5名，之前却一直用的好好的。所以可能是行为分析杀 ...

SONAR分析，显示的是远程线程注入，却在你嘴里成了偷窃隐私。这种靠一知半解，意淫强身的行为，值得大家“借鉴”。

记录剪切板当然是键盘记录的一种方式，有拦截键盘记录能力的HIPS都是这么提示的。不认真学习当然理解不了。

另外，连360的云HIPS和360急救箱的区别都搞不懂，喷还喷错了点

lmw8023zz

jefffire 发表于 2014-9-11 09:43
SONAR分析，显示的是远程线程注入，却在你嘴里成了偷窃隐私。这种靠一知半解，意淫强身的行为，值得大家 ...

远程线程注入：远程线程插入（注入）技术指的是通过在另一个进程中创建远程线程的方法进入目标进程的内存地址空间。将木马程序以DLL的形式实现后，需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间，即利用该线程通过调用Windows API LoadLibrary函数来加载木马DLL，从而实现木马对系统的侵害。

记录剪切板行为上不应算键盘记录，因为一般需要输入密码的地方是不允许复制上去的，必须手动输入，所以剪切板里面通常不存在密码。至于大多数HIPS都是这样记录，只能说明HIPS太死板，360将记录剪切版的行为直接定义为键盘记录器并提示阻止，这本身就是一种错误。

jefffire

lmw8023zz 发表于 2014-9-11 09:47
远程线程注入：远程线程插入（注入）技术指的是通过在另一个进程中创建远程线程的方法进入目标进程的内 ...

能别查个百度，一知半解就贴出来么？
既然你认为线程注入就是木马，那我问你诺顿的插件是靠什么实现的？我再问你，三国杀的线程注入，偷窃了那些隐私？

lmw8023zz

jefffire 发表于 2014-9-11 09:43
SONAR分析，显示的是远程线程注入，却在你嘴里成了偷窃隐私。这种靠一知半解，意淫强身的行为，值得大 ...

急救箱误杀很正常 我说的也是急救箱误杀 请问我哪里喷了？

lmw8023zz

jefffire 发表于 2014-9-11 09:53
能别查个百度，一知半解就贴出来么？
既然你认为线程注入就是木马，那我问你诺顿的插件是靠什么实现的 ...

我并没有说一定不是误报，我说的是可能有小动作，而你的意思一定不可能，并指责我要多读书不是吗？另外建议看看上面我后来加上去的配图，比较中肯的解释。

jefffire

lmw8023zz 发表于 2014-9-11 09:55
我并没有说一定不是误报，我说的是可能有小动作，而你的意思一定不可能，并指责我要多读书不是吗？另外建 ...

还是回避问题。
诺顿的浏览器插件是靠什么实现的？三国杀的线程注入，偷窃了那些隐私？