楼主: moonsilver
收起左侧

[病毒样本] AVG用户中毒了

[复制链接]
wangjay1980
发表于 2008-2-1 23:15:53 | 显示全部楼层

回复 20楼 solcroft 的帖子

你可以看看人家毒霸官方的言论

就是不给用户困惑,不给用户提示
挪威的冬天
发表于 2008-2-1 23:16:52 | 显示全部楼层
原帖由 solcroft 于 2008-2-1 22:55 发表

这一天来运行了差不多要50只毒
从来就没期望能和HIPS相比,可是这么多病毒半点反映都没有又是怎么回事?


至于没反应 首先内置规则管的范围很小 只有很敏感的动作才会触发 至于到底是什么 我也不知道 要么反编译相关 dll 看看 不过我没那个水平

之前我触发过 实时监控不报 行为监控提示可疑 的确是样本 但那时候没有 HIPS 不知道到底做了点什么

另外之前设计中有个逻辑宿主的反查功能 不过现在好像削弱了

那时候海量白名单的概念还没正式宣传出来 监控不认 7-ZIP 所以用 7-ZIP 解压缩样本后行为监控会提示 7-ZIP 可疑

现在好像削弱了这个功能 因为很多样本释放马 生成物被杀了而源样本却没被反查 之前内测版(很遥远的事儿了) 是可以的 (当然也不绝对 但直接释放的多少会有反应)
挪威的冬天
发表于 2008-2-1 23:18:37 | 显示全部楼层
原帖由 solcroft 于 2008-2-1 23:12 发表

那安装 + 解放病毒的时候毒霸监控怎么没报?


这个就 god knows 了
solcroft
发表于 2008-2-1 23:23:03 | 显示全部楼层

回复 22楼 挪威的冬天 的帖子

现在好像没有把解放成已知病毒的母体当作恶意程序了,第一次发现病毒后就会永远禁止在那个路径下创建同样的文件名,啥都没提示

总之这个恶意行为拦截就是够莫名其妙的,要把它请得动可难得很
醉一生爱妍
发表于 2008-2-1 23:23:54 | 显示全部楼层

回复 24楼 solcroft 的帖子

你运行个U盘病毒看他报不报?
挪威的冬天
发表于 2008-2-1 23:25:25 | 显示全部楼层
原帖由 solcroft 于 2008-2-1 23:23 发表
现在好像没有把解放成已知病毒的母体当作恶意程序了,第一次发现病毒后就会永远禁止在那个路径下创建同样的文件名,啥都没提示

总之这个恶意行为拦截就是够莫名其妙的,要把它请得动可难得很


暂时阻止同路径同名文件创建是为了预防一些比较简单的病毒反复再生 当然以后都用随机名了那么这个功能也就可以退休了

重启下就能解除锁定了
wangjay1980
发表于 2008-2-1 23:25:31 | 显示全部楼层
你用冰刃看看它可怜的HOOK就知道它的脆弱性啦
醉一生爱妍
发表于 2008-2-1 23:26:17 | 显示全部楼层

回复 24楼 solcroft 的帖子

还有尝试用ntsd -c q -pn 金山的进城看看它出不出来
挪威的冬天
发表于 2008-2-1 23:28:09 | 显示全部楼层
原帖由 wangjay1980 于 2008-2-1 23:25 发表
你用冰刃看看它可怜的HOOK就知道它的脆弱性啦


不要提 SSDT 了

虽然觉得江民那种自保已经变态了 而且不做 HIPS 也不用挂那么多东西

不过说实话 只 HOOK 那么几个现在来看从某种角度上是有点丢人
solcroft
发表于 2008-2-1 23:31:30 | 显示全部楼层

回复 28楼 garyyan456 的帖子


今天没力气玩了
明天继续
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-6-17 03:23 , Processed in 0.103053 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表