今天这道菜不错，很好玩的KILLAV，欢迎各位饭友双击对抗病毒

显示全部楼层 · 发表于 2015-11-23 19:22:54

pal家族发表于 2015-11-23 19:20
正儿八经的卡巴PDM杀
9天前特征库，断开KSN，扫描不杀

嗯，这才是真正的主防，卡巴的最后防线

显示全部楼层 · 发表于 2015-11-23 19:26:38

本帖最后由 pal家族于 2015-11-23 19:28 编辑

链接KSN，关闭文件监控
双击
报毒名变了。可见一个是纯本地BSS特征检测，一个是云的结果。

打开文件监控，云杀。

好了，我也懒得更新了，就这个化石病毒库吧，测试起来更有意义！

显示全部楼层 · 发表于 2015-11-23 20:02:32

驭龙发表于 2015-11-23 19:22
嗯，这才是真正的主防，卡巴的最后防线

卡巴一直这样弱化扫描也不是路子啊，主防一过什么都没了

显示全部楼层 · 发表于 2015-11-23 20:07:17

jmkbird 发表于 2015-11-23 20:02
卡巴一直这样弱化扫描也不是路子啊，主防一过什么都没了

卡巴扫描弱？那比卡巴扫描弱的怎么活啊

显示全部楼层 · 发表于 2015-11-23 20:10:07

驭龙发表于 2015-11-23 20:07
卡巴扫描弱？那比卡巴扫描弱的怎么活啊

毕竟当年号称虚拟机启发超牛逼，现在虽然也好，但是也已经不是最好的了，至少红伞和ESET但从扫描上还是比他好一点，不过卡巴病毒搜集能力还是很好，毕竟大厂

显示全部楼层 · 发表于 2015-11-23 20:16:02

jmkbird 发表于 2015-11-23 20:10
毕竟当年号称虚拟机启发超牛逼，现在虽然也好，但是也已经不是最好的了，至少红伞和ESET但从扫描上还是比 ...

你确定单纯的扫描红伞更牛？你自己看看精睿包的测试，以及我抓的样本情况，你就知道了，当然国际测评也可以看看，卡巴依旧顶级查杀，AV Test的十月测试，ESET的保护得到可没有卡巴高哦

显示全部楼层 · 发表于 2015-11-23 20:38:51

wjy19800315 发表于 2015-11-23 10:12
诺顿miss

诺顿万物杀果断灭之

沙盘内双击，样本试图加载驱动被沙盘拦截

显示全部楼层 · 发表于 2015-11-23 20:43:00

本帖最后由 cwl12315 于 2015-11-23 21:27 编辑

回家了，试试win7 64bit虚拟机+ 费尔。首先扫描miss。
1. 开始双击，首先第一次，毛豆自动沙盒运行，动态防御杀SPStop.bat、KPStop.html、本体wmplayer_codec.exe

2. 忘了截图，再次双击，毛豆自动沙盒运行，动态防御直接杀wmplayer_codec.exe。

3. 转到早先的虚拟机快照，双击，毛豆自动沙盒运行，此次动态防御无反应。

4. 重置沙盒，关闭自动入沙，双击，杀SPStop.bat、C:\Program Files (x86)\Common Files\Services\Bridge.exe、C:\Users\cwl\AppData\Roaming\InstSys.exe，同时听见报错音效，但无错误弹窗。PCHunter进程列表可以看到C:\Program Files (x86)\Common Files\Services\wmplayercodec.exe正在执行，同时驱动列表有rdrv64.sys、KPStop.html，病毒本体未杀。杀软费尔、毛豆正常工作，无killAV执行特征。重启虚拟机，加载进入系统时等待1~2分钟左右，查看费尔动态防御日志，有“清除文件 C:\users\All Users\downloader.exe. 云鉴定: 未鉴定, (重启清除)”记录。PCHunter再次查看，wmplayercodec.exe仍然执行，但驱动列表恢复正常。

总结，搞不懂费尔的动态防御了，哪位达人解释下怎么每次双击的结果都不一样Orz

------------------------------------------------------------------------------------------
又重启了一次，这次变成杀C:\ProgramData\downloader.exe，同样是downloader.exe，但路径换了，过了一会还杀了一个system32文件夹下的sfc_os.dll
------------------------------------------------------------------------------------------
唔，每次重启都要杀一遍downloader.exe，然后sfc_os.dll拒绝访问，删不掉。。。

显示全部楼层 · 发表于 2015-11-23 21:04:42

本帖最后由坏脾气的男生于 2015-11-23 21:09 编辑

cwl12315 发表于 2015-11-23 20:43
回家了，试试win7 64bit虚拟机+ 费尔。首先扫描miss。
1. 开始双击，首先第一次，毛豆自动沙盒运行，动态 ...

第一次双击费尔动态防御了病毒，杀了衍生物和本体。怎么后面再一次双击又说费尔动态未杀本体。

显示全部楼层 · 发表于 2015-11-23 21:04:59

本帖最后由坏脾气的男生于 2015-11-23 21:08 编辑

cwl12315 发表于 2015-11-23 20:43
回家了，试试win7 64bit虚拟机+ 费尔。首先扫描miss。
1. 开始双击，首先第一次，毛豆自动沙盒运行，动态 ...

费尔云鉴定既然是安全，我也是无语了。

[病毒样本] 今天这道菜不错，很好玩的KILLAV，欢迎各位饭友双击对抗病毒

本帖子中包含更多资源

评分

本帖子中包含更多资源

浏览过的版块