精睿样本测试（12.3）

幽冥の龙

1094947421 发表于 2014-12-3 20:08
扫描深度不同，官人回答：“监控不解压导致的，扫描报的是里面的，所以运行后就能报。”可惜虽然不停报 ...

不太懂，看了你说的  我是这样理解的不知道对不对

因为这个样本没入库，所以监控不会报
火绒扫描的时候引擎把病毒解开详细分析了，发现有问题，所以报了
双击的时候因文件本身没入库所以实时防护不报，然后又过了主防……
然后样本释放衍生物，实时防护开杀（也就是之前扫描报的东西？）

但因为样本本身火绒并没觉得有问题所以一直不杀只杀衍生物……


说到底还是主防和回滚能力太差，要是费尔的智能黑盒，样本过了主防衍生物杀掉了立马回滚把母体一起杀了

1094947421

幽冥の龙 发表于 2014-12-3 20:23
不太懂，看了你说的  我是这样理解的不知道对不对

因为这个样本没入库，所以监控不会报

也许你说的对，我其实不太懂，我的理解是母体只是个壳，病毒在里面并且已入库，扫描的时候会脱壳检查，只要检查到有病毒文件就会直接报母体，然后就能杀，实时监控为了轻巧不占资源，就不脱壳，双击之后执行扫描也没脱壳，母体开始释放病毒文件，然后实时监控开始杀病毒衍生物文件，主防开始拦截没监控到的病毒所释放的恶意行为（弹窗时我一直在选推荐操作），母体发现文件被拦截就不停的一直释放（后来发现选结束进程，还是一直释放），火绒疲于奔命，最后不知道是崩溃了，还是被病毒过了把服务给关了。有一点，我在测2号样本（是个锁屏）的时候，发现如果是火绒默认设置，就会被过，虽然也会拦截病毒，但最后直接锁屏了，重启也是被锁。选严格防护+未知病毒拦截高+监控中档，弹窗我一直选推荐操作，最后火绒虽然挂了，但样本没成功，弹窗中有添加启动项的选项推荐居然是允许，我没重启，所以不知道重启有没有锁住。

yydmo

小A杀余1个【含修复的】

幽冥の龙

1094947421 发表于 2014-12-3 20:53
也许你说的对，我其实不太懂，我的理解是母体只是个壳，病毒在里面并且已入库，扫描的时候会脱壳检查， ...

火绒的推荐操作貌似不是看行为的…… 预先设定好的……比如敏感位置是黄色框，推荐阻止，危险位置是红色的……  其他都是绿色允许，只是弹窗告诉你一下- - 比如启动项、创建快捷方式什么的…… 所以最好还是自己判断……系统防护实际就是HIPS，单步拦截，自己选比较好，不要按推荐的（特别是推荐允许的）

1094947421

幽冥の龙 发表于 2014-12-3 21:33
火绒的推荐操作貌似不是看行为的…… 预先设定好的……比如敏感位置是黄色框，推荐阻止，危险位置是红 ...

2号样本，可以被扫描到的，火绒默认设置，双击，有弹窗的时候选阻止并且记住。之后一直在杀衍生物。然后，如图，重启之后还是这样。默认设置不拦截添加启动项。

paul_guo

vse清空了啊

1094947421

幽冥の龙 发表于 2014-12-3 21:33
火绒的推荐操作貌似不是看行为的…… 预先设定好的……比如敏感位置是黄色框，推荐阻止，危险位置是红 ...

发现了没有，火绒不监控压缩包，而且没有选项可以设置为监控所有文件，

erui

cxy密斯 发表于 2014-12-3 10:07
Dr.web kill 99x，修复21x

大蜘蛛10.0版本确实不错，我安装试用了几次，感觉不卡，占用内存比ESET稍微多一点。
但是，我发现大蜘蛛有几个问题：
1、RAR压缩包里如果有几个文件有病毒，大蜘蛛自动清除，但会导致最终的RAR压缩包出错，也就是CRC校验出错，这个RAR压缩包基本上就废了，里面其它的几个好文件也无法正常解压出来。
2、大蜘蛛的任务栏图标最好设计的能有动感就好看一些，现在的任务栏图标感觉很呆板。

zmzcy

comodo清空

1094947421

幽冥の龙 发表于 2014-12-3 21:33
火绒的推荐操作貌似不是看行为的…… 预先设定好的……比如敏感位置是黄色框，推荐阻止，危险位置是红 ...

我刚才验证了我的猜测，把一个火绒可以报的病毒文件添加到压缩包，（火绒不监控压缩包），然后把这个压缩包修改为自解压文件，修改过程中火绒杀掉了临时文件，但反映慢了点，自解压exe完成，（等于给病毒exe加了一层壳），然后火绒就不会报这个有病毒的exe文件（手动扫描可以扫出来）。把exe改回zip然后解压，火绒才报。。。过火绒实时监控居然如此简单。