【技术帖再次来袭】窥探AMP BM隐形的强大，BM技术是遥测＋特征匹配[更新重磅内容]

显示全部楼层 · 发表于 2015-10-22 20:39:47

ELOHIM 发表于 2015-10-22 10:50
MA本地杀不是吃素的。不是国内那种相当依赖云的。
思路比较好。
MSE不联网查杀可能不会提示 ...

这思路不是国内杀软云查杀开始普及的时候，很多病毒的一贯做法么？
上来先直接破坏网络协议，或者通过Hosts先阻止杀软联网。然后再做其他的。。。

显示全部楼层 · 发表于 2015-10-22 20:46:52

jpzy 发表于 2015-10-22 20:39
这思路不是国内杀软云查杀开始普及的时候，很多病毒的一贯做法么？
上来先直接破坏网络协议，或者通过Ho ...

小的不懂。。
不知UAC会不会拦截，不知普通用户可以不可以更改。

恐怕拦不住吧，低威胁的。

显示全部楼层 · 发表于 2015-10-22 20:56:05

jpzy 发表于 2015-10-22 20:38
本地特征肯定容易过。
如果低威胁样本做到了阻止MA联网查找云服务，并且绕过了本地特征，那剩下的就看本 ...

真的不容易过，如一开始你说低威胁阻止MA联网，自己下载高威胁来杀MA，而这种高威胁是很难逃出本地特征库和动态启发以及VFS虚拟，还有Behavior Severe的，尤其是攻击杀软这样的行为，基本上是很难过动态启发和Behavior Severe的

显示全部楼层 · 发表于 2015-10-22 20:59:12

jpzy 发表于 2015-10-22 20:39
这思路不是国内杀软云查杀开始普及的时候，很多病毒的一贯做法么？
上来先直接破坏网络协议，或者通过Ho ...

不获得管理员权限如何改HOSTS啊，获得管理员权限必须UAC，而Windows 10的Smart UAC是先调用WD扫描的，而修改HOSTS这行为，是在基因库中的，很容易发现

显示全部楼层 · 发表于 2015-10-22 21:30:09

驭龙发表于 2015-10-22 20:59
不获得管理员权限如何改HOSTS啊，获得管理员权限必须UAC，而Windows 10的Smart UAC是先调用WD扫描的，而 ...

我知道。有了UAC以后，win系统的安全性高了很多，默认就可以阻挡很多病毒。过去老的行为比如改HOSTS，插Explorer基本都挂了。。。

我只是说有这么个事儿。国内刚开始普及云的时候，大部分用户不是还XP呢吗。。。

显示全部楼层 · 发表于 2015-10-23 08:25:03

本帖最后由驭龙于 2015-10-23 08:26 编辑

jpzy 发表于 2015-10-22 21:30
我知道。有了UAC以后，win系统的安全性高了很多，默认就可以阻挡很多病毒。过去老的行为比如改HOSTS，插E ...

是啊，现在系统已经变的安全多了，哈
MA已经不支持XP了，不需要担心

而当初云发展的时候国内的都有禁止修改HOSTS的功能

显示全部楼层 · 发表于 2015-10-23 15:14:36

驭龙发表于 2015-10-23 08:25
是啊，现在系统已经变的安全多了，哈
MA已经不支持XP了，不需要担心

XP时代我玩过几天ubuntu，对su指令一开始很不爽，各种麻烦。不过，那时候刚好玩组策略，理解了组策略以后发现，linux下的su不就是个临时提权吗，默认所有环境都是低权限。当时还想，为啥windows不这么做，组策略加个临时提权工具多好。然后vista就有了UAC。。。。

然后，看到网上铺天盖地的吐槽UAC，鼓动人关闭UAC的帖子，就很不爽。。。

显示全部楼层 · 发表于 2015-10-23 15:24:09

jpzy 发表于 2015-10-23 15:14
XP时代我玩过几天ubuntu，对su指令一开始很不爽，各种麻烦。不过，那时候刚好玩组策略，理解了组策略以后 ...

是啊，UAC本身是个好东西，我一直是高开的，我也觉得推荐关闭UAC，实在是有一点那个了。
Linux和OS X我都玩过，可还是Windows比较适合我，嘿嘿

显示全部楼层 · 发表于 2015-10-23 23:03:45

@驭龙
您的帖子已被推荐到论坛首页推荐帖子，论坛有你更精彩

显示全部楼层 · 发表于 2015-10-24 20:12:23

支持技术贴。从win8时代起，基本告别折腾杀软了，主要是没精力了，懒，就默认WD吧。

[技术探讨] 【技术帖再次来袭】窥探AMP BM隐形的强大，BM技术是遥测＋特征匹配[更新重磅内容]