关于那个驱动保护病毒，大家来测主防回滚能力吧

幽冥の龙

原楼大家都只测了防御（扫描）

基本都能防，但也是因为样本还没有免杀……

SO……大家别光顾着测防御，来测测修复能力吧

我找了个样本
样本来源是 这个  恶作剧 http://bbs.kafan.cn/thread-1783619-1-1.html

用原楼主的强化工具强化了，扫描没必要扫了一般都杀的

有虚拟机的有空的测测看好了…… 最好是放行第一次，或添加母体信任后双击，看主防是否能拦截后续动作并回滚，然后重启之后，看 C:\Windows\System32 下是否还有 blackcat.exe    iiexplorer.exe   等衍生物……
如果重启后无异样，应该就是防住了，即使有部分残留应该也是没危害了，重启后那些东西又回来了表示没防住。如果防住的，可以进一步测试，临时关闭防护软件后双击看看中招后能否彻底修复。

这样做主要是模拟用户心态：对于不确定又想用的东西一般都会先放行或暂时信任的……如果继续报就杀，不报就当误报了





虽然只是个恶作剧样本但还是请别实机双击

没强化的时候只是黑屏，重启后就好了，似乎也不会有残留
强化过后就阴魂不散了 ！

具体行为
火眼
http://fireeye.ijinshan.com/anal ... 6048&type=1#key

哈勃
http://habo.qq.com/file/showdetail?pk=ADwGb11rB2c=

费尔已测，在开启动态防御的情况下，放行第一步后，后续报警拦截点清除后回滚，重启后没再报警。但关闭费尔的情况下双击后就无能为力了
用了木马强力清除勾选抑制再生 和 文件陷阱，都没用，这功能好像重启就无效的……
然后每次重启后费尔都会报警，如此反复……

360卫士 好像没单步放行所以直接添加母体信任了，双击后，360继续弹窗，清除，连带母体一起杀了，之后手动重启实验，结果刚进桌面又被重启了……删不干净了……但奇怪的是被自动重启后再进桌面没有再重启，我还以为会开始无限重启循环呢，不知道 360套装能否拦截彻底。360急救箱没有测试，谁有空测测

所以，如果样本做了免杀，过了杀软的扫描，主防没防住或者 只有单步主防的软件用户自己放行了第一步，直接悲剧……

所以，这个不光能测主防是否能防，还能测主防的具体拦截和杀软的回滚能力

yicun

Gen:Trojan.Heur.RP.mmGdaWPasun
C:\Users\Eric\Downloads\强化完的病毒.zip

a445441

幽冥の龙

a445441 发表于 2014-11-3 23:31

扫描没必要扫了

微点我记的也有放行的吧？虚拟机双击后放行第一次试试？

a445441

幽冥の龙 发表于 2014-11-3 23:34
扫描没必要扫了

微点我记的也有放行的吧？虚拟机双击后放行第一次试试？

lblzone

BullGuard, 双击，提示隔离，点击允许，联网，提示选择，点击允许。用killswitch看了，没什么活动，然后消失。用BullGuard不重启扫描全盘，无问题。楼主说的路径下的衍生物也没有发现。全程没有提示回滚。这个毒是不是有问题？

幽冥の龙

lblzone 发表于 2014-11-4 04:15
BullGuard, 双击，提示隔离，点击允许，联网，提示选择，点击允许。用killswitch看了，没什么活动，然后消 ...

难道环境问题？ 因考虑到有些样本64运行不起来所以我虚拟机装的是 WIN7 32位的

火眼监控到这些东西，一个都没么

幽冥の龙

a445441 发表于 2014-11-3 23:36

印象中微点这方面还是很强的
话说重启后还有不

傻瓜爱笨蛋

大BD 直接拦截网页下载

a445441

幽冥の龙 发表于 2014-11-4 09:07
印象中微点这方面还是很强的
话说重启后还有不

重启也没有了