查看: 14920|回复: 121
收起左侧

[分享] 用大蜘蛛的用户注意了,关于关闭“扫描加载程序和模块“和监控模式的探讨【最新更新】

  [复制链接]
驭龙
发表于 2015-10-13 08:15:05 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2015-10-13 16:49 编辑

以前一直认为Spider Guard监控本身写着监控文件的写入和执行,因此很多人为了流畅关闭了附加功能-扫描加载的程序和模块,我也是其中之一,因为认为Spider Guard监控写入和执行,以及进程打开创建,今天收到饭友@nick20010117   提醒,所以测试一下,发现关闭扫描加载程序和模块,真的是错了。

关闭扫描加载程序和模块,双击样本,好家伙,38号衍生物被拦截,母体没有被拦截(因为系统双击过这个样本,具体情况往下看)。


开启扫描加载程序,重新双击38样本,直接彻底拦截运行,38无法运行和生成衍生物。


经过其他饭友测试,这个过程是中途关闭Spider Guard监控,才会出现这种问题。

其他测试也是这样,关闭扫描加载程序以后,双击ZeroAccess不杀,ZA成功运行,启动扫描加载程序,双击ZA被拦截(就不截图了)

通过上面的小测试,我提醒千万不要为了流畅而关闭Spider Guard的扫描加载程序和模块,否则真的容易漏毒,如果不希望漏毒,大家可以把扫描模式调整为非推荐,这样是疯狂的监控模式,监控文件的所有操作,大家注意一下!


备注一下,由于这个系统镜像之前测试DPH,所以样本都被反复双击过,之前还触发过DPH主防,那是关闭监控的情况下,因此本测试仅供参考。
关闭Spider Guard监控,双击中的第N次,触发DPH

======================================================
2015年10月13日 16:40,重新完整的测试
我重新恢复系统镜像,用没有双击过样本的快照测试。

关于关闭扫描加载程序和模块和不关闭扫描加载程序和模块前后的区别如下:

关闭扫描加载程序和模块的时候双击样本,38样本出现在任务管理器,意味着成功运行,随后DrWeb Spider Guard报毒,成功杀掉38


38样本被DrWeb隔离,因为是没有感染过这个样本的系统环境,所以没有漏的情况。


接下来打开扫描加载程序和模块,换个文件路径双击38,文件被封锁,无法运行,这是彻底的阻止运行,样本根本没有活过。


再换一个文件路径,依然是彻底阻止,不存在关闭扫描加载程序和模块时候的样本运行。



这此的测试,说明了即使是关闭扫描加载程序和模块,绝大部分情况下DrWeb的Spider Guard也是不会轻易漏毒的,只是不能提前阻止威胁的运行,而打开扫描加载程序和模块以后,DrWeb是可以在威胁运行之前阻止其运行的,这样的安全度会更好一些。

即使是关闭扫描加载程序和模块,DrWeb也是不会轻易漏毒的,即使是Spider Guard监控漏了(其实没有那么容易漏毒的,只是安全性降低),还有预防性保护中的DPH和DPD拦截,只是安全度还是没有打开扫描加载程序和模块高,所以还是那句话,不建议关闭扫描加载程序和模块。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 6原创 +1 人气 +5 收起 理由
wjy19800315 + 1 版区有你更精彩: )
nick20010117 + 1 版区有你更精彩: )
23Jia + 1 版区有你更精彩: )
每顿需吃三大碗 + 1 感谢提供分享
cxy密斯 + 1 版区有你更精彩: )

查看全部评分

cxy密斯
发表于 2015-10-13 09:12:48 | 显示全部楼层
本帖最后由 cxy密斯 于 2015-10-13 09:15 编辑

开启监控直接杀。。。。无奈关闭监控。。。。关闭监控后再开启监控不杀,应该是没在监控扫描,也就是说开机后不建议中途关闭监控。
然而我放沙盘运行时(此时开启着监控并没杀),点击确定后检测到,直接秒了,过一会提示重启清除威胁


图中很现实,绝壁不能关闭监控后在开启,不然就等于在关闭监控玩双击

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
 楼主| 发表于 2015-10-13 18:28:57 | 显示全部楼层
已经初步得到官方回复,等待进一步确认,之后我会发官方的回复原文
pal家族
发表于 2015-10-13 08:36:06 | 显示全部楼层
那一项到底是什么意思。。。。
cxy密斯
发表于 2015-10-13 08:38:13 | 显示全部楼层
你把监控关掉了吧。。。。
驭龙
 楼主| 发表于 2015-10-13 08:43:23 | 显示全部楼层
cxy密斯 发表于 2015-10-13 08:38
你把监控关掉了吧。。。。

你认为我会那样说假话?如果关闭Spider Guard的话,第一张图的衍生物为何是监控杀?第一张图仅仅是关闭扫描加载程序和模块,第二张图是开启扫描加载程序和模块,其他设置全部相同的
驭龙
 楼主| 发表于 2015-10-13 08:45:55 | 显示全部楼层
pal家族 发表于 2015-10-13 08:36
那一项到底是什么意思。。。。

通过函数分析,是检测进程扫描,也就是扫描进程的内容。
说实话因为这个问题,我会放弃使用DrWeb,因为开启扫描加载程序和模块,真的是太卡了
pal家族
发表于 2015-10-13 08:47:39 | 显示全部楼层
驭龙 发表于 2015-10-13 08:45
通过函数分析,是检测进程扫描,也就是扫描进程的内容。
说实话因为这个问题,我会放弃使用DrWeb,因为 ...

我怎么觉得不对劲啊
就算不扫描进程,不扫描内存,最基本的文件监控也在啊,
双击母体时,怎么会漏掉母体啊?
欧阳宣
头像被屏蔽
发表于 2015-10-13 08:48:51 | 显示全部楼层
相当于内存内扫描,是这意思么
cxy密斯
发表于 2015-10-13 08:49:13 | 显示全部楼层
驭龙 发表于 2015-10-13 08:43
你认为我会那样说假话?如果关闭Spider Guard的话,第一张图的衍生物为何是监控杀?第一张图仅仅是关闭扫 ...

样本发个,我放沙盘里去试试
驭龙
 楼主| 发表于 2015-10-13 08:50:06 | 显示全部楼层
pal家族 发表于 2015-10-13 08:47
我怎么觉得不对劲啊
就算不扫描进程,不扫描内存,最基本的文件监控也在啊,
双击母体时,怎么会漏掉母 ...

我之前也这样认为,毕竟AntiRootkits系统是监控内存的,然而事实上如图所示,母体被漏,而衍生物和母体的报法是相同的,这个匪夷所思啊
驭龙
 楼主| 发表于 2015-10-13 08:52:33 | 显示全部楼层
cxy密斯 发表于 2015-10-13 08:49
样本发个,我放沙盘里去试试

去下载精睿5日包的38样本,实际上任何样本都可以的,不是单一样本的问题,小心一点,38是Ramnit,很强的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 05:38 , Processed in 0.131899 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表