AVG用户中毒了

wangjay1980

你可以看看人家毒霸官方的言论

就是不给用户困惑，不给用户提示

挪威的冬天

原帖由 solcroft 于 2008-2-1 22:55 发表

这一天来运行了差不多要50只毒
从来就没期望能和HIPS相比，可是这么多病毒半点反映都没有又是怎么回事？

至于没反应 首先内置规则管的范围很小 只有很敏感的动作才会触发 至于到底是什么 我也不知道 要么反编译相关 dll 看看 不过我没那个水平

之前我触发过 实时监控不报 行为监控提示可疑 的确是样本 但那时候没有 HIPS 不知道到底做了点什么

另外之前设计中有个逻辑宿主的反查功能 不过现在好像削弱了

那时候海量白名单的概念还没正式宣传出来 监控不认 7-ZIP 所以用 7-ZIP 解压缩样本后行为监控会提示 7-ZIP 可疑

现在好像削弱了这个功能 因为很多样本释放马 生成物被杀了而源样本却没被反查 之前内测版(很遥远的事儿了) 是可以的 (当然也不绝对 但直接释放的多少会有反应)

挪威的冬天

原帖由 solcroft 于 2008-2-1 23:12 发表

那安装 + 解放病毒的时候毒霸监控怎么没报？

这个就 god knows 了

solcroft

现在好像没有把解放成已知病毒的母体当作恶意程序了，第一次发现病毒后就会永远禁止在那个路径下创建同样的文件名，啥都没提示

总之这个恶意行为拦截就是够莫名其妙的，要把它请得动可难得很

醉一生爱妍

你运行个U盘病毒看他报不报？

挪威的冬天

原帖由 solcroft 于 2008-2-1 23:23 发表
现在好像没有把解放成已知病毒的母体当作恶意程序了，第一次发现病毒后就会永远禁止在那个路径下创建同样的文件名，啥都没提示

总之这个恶意行为拦截就是够莫名其妙的，要把它请得动可难得很

暂时阻止同路径同名文件创建是为了预防一些比较简单的病毒反复再生 当然以后都用随机名了那么这个功能也就可以退休了

重启下就能解除锁定了

wangjay1980

你用冰刃看看它可怜的HOOK就知道它的脆弱性啦

醉一生爱妍

还有尝试用ntsd -c q -pn 金山的进城看看它出不出来

挪威的冬天

原帖由 wangjay1980 于 2008-2-1 23:25 发表
你用冰刃看看它可怜的HOOK就知道它的脆弱性啦

不要提 SSDT 了

虽然觉得江民那种自保已经变态了 而且不做 HIPS 也不用挂那么多东西

不过说实话 只 HOOK 那么几个现在来看从某种角度上是有点丢人

solcroft

唉
今天没力气玩了
明天继续