飞塔与ZeroAccess的幸福生活，难道飞塔实时监控也喜欢漏毒？

ksss5566

首先声明，小白一枚，错了莫笑，敬请批评指正。
昨天双击了个样本，想试试飞塔的Anti-Rootkit。
样本来源：http://bbs.kafan.cn/thread-1844986-1-1.html
虚拟机环境：win7 ×32，未打补丁，未激活。
飞塔版本（更新到最新了）：

我一直觉得飞塔的监控是很灵敏的，没想到啊。
样本是飞塔已经入库的，因为右键扫描报毒。

过程如下：
样本解压不报，右键单击不报，如图：

双击也不报，实时监控哑火了：

然后，幸福的和样本生活在了一起。
PCHunter能发现样本，飞塔快速扫描找不到样本。没心情尝试全盘扫描。

PS：前面尝试几次，都会出现“实时监控报某个驱动染毒并且需要重启清除”的现象，忘了截图了，后面再试，等了很久实时监控也没报，不知道咋回事。
那么问题来了：飞塔是漏毒了吗？飞塔的实时监控也有问题吗？Anti-Rootkit究竟是啥时候用的？中了之后吗？

ELOHIM

以单一样本做定论不是很好吧。。
一票否决制用在这里好像……

如果楼主感兴趣，多双击几个。
看看飞塔对哪种类型的恶意文件主防比较好，比较敏感，比较内行。
没有用过飞塔哦，飞塔有没有HIPS？
说的不对请见谅。

ksss5566

ELOHIM 发表于 2015-8-19 15:54
以单一样本做定论不是很好吧。。
一票否决制用在这里好像……

感谢回复。
飞塔有云主防，但据说必须用了飞塔的硬件防火墙才有主防。免费版没有。
我知道单一样本下定论不对。可是入库的样本，实时监控应该大部分是能监控到才对吧，尤其这是个高危样本，如果实时监控都不报，有点太说不过去了。

ELOHIM

ksss5566 发表于 2015-8-19 16:01
感谢回复。
飞塔有云主防，但据说必须用了飞塔的硬件防火墙才有主防。免费版没有。
我知道单一样本下定 ...

一个比较专业的分析。
http://drops.wooyun.org/papers/5609

别的我也不懂，小白路过。我只会帮顶。

ksss5566

ELOHIM 发表于 2015-8-19 16:11
一个比较专业的分析。
http://drops.wooyun.org/papers/5609

感谢，我看看去。
我以前试过很多次飞塔，一直挺灵敏的。就是最近，试这个样本，我前后试过好几回了，时间跨度也比较大，但飞塔老是出这个问题，真挺奇怪的。

Chelax

飞塔如果做的漂亮点我就用了！

ksss5566

Chelax 发表于 2015-8-19 22:01
飞塔如果做的漂亮点我就用了！

企业用的，漂亮是别指望了。

c68111c

等大師來回復

Chelax

ksss5566 发表于 2015-8-20 13:48
企业用的，漂亮是别指望了。

有个人版啊

ksss5566

Chelax 发表于 2015-8-20 19:49
有个人版啊

在哪有，我没找到过？麻烦发个链接。谢谢！