带有签名的病毒

尘梦幽然

windows7爱好者 发表于 2016-8-13 11:54
现在问题是这个驱动存不存在恶意行为，铁壳加白仅仅是因为百度签名吧

并非如此，赛门铁克不会依数字签名就给trusted，你看LOL的更新还有tgp的更新都带数签，赛门铁克照杀不误。赛门铁克自己是全球最大的代码签名证书签发机构，没有谁比赛门铁克明白代码签名和文件安全之间的关系。这个trusted经过工程师验证过确实安全才给的。现在我给你肯定的答复是，这个文件没有恶意行为，赛门铁克将维持这个判断。

windows7爱好者

尘梦幽然 发表于 2016-8-13 13:10
并非如此，赛门铁克不会依数字签名就给trusted，你看LOL的更新还有tgp的更新都带数签，赛门铁克照杀不误 ...

万一误判了呢
而且，驱动无法跟随卸载而删除，本身就是一件非常恶心的事情，就是它没有恶意行为

尘梦幽然

windows7爱好者 发表于 2016-8-13 13:31
万一误判了呢
而且，驱动无法跟随卸载而删除，本身就是一件非常恶心的事情，就是它没有恶意行为

复议结果已出，非误判。

vm001

windows7爱好者 发表于 2016-8-13 13:31
万一误判了呢
而且，驱动无法跟随卸载而删除，本身就是一件非常恶心的事情，就是它没有恶意行为

这个没必要纠结他是不是病毒。。
重要的是一个正规签名厂商的东西使用了病毒手段

vm001

尘梦幽然 发表于 2016-8-13 13:38
复议结果已出，非误判。

你根本没理解发帖的意义，看44楼

尘梦幽然

vm001 发表于 2016-8-13 15:25
你根本没理解发帖的意义，看44楼

是这样的，这个文件最重要的两个功能是：1.锁定浏览器主页2.保护它自身。
有人初步分析以后告诉我这个文件采取了关机回写的方式保护自身。
这其实是一种可以接受的保护手段，自从360那年强行卸载金山网盾之后，现在国产软件使用这样的手段并不是不可以理解的。
有兴趣的话可以测试在不同系统环境下按正常流程卸载该软件能不能一并自动将此驱动移除。如果可以的话，这其实也不算什么病毒手段了。

vm001

尘梦幽然 发表于 2016-8-13 16:03
是这样的，这个文件最重要的两个功能是：1.锁定浏览器主页2.保护它自身。
有人初步分析以后告诉我这个文 ...

如果可以我就不会发帖了。。。

kakenhi

尘梦幽然 发表于 2016-8-13 16:03
是这样的，这个文件最重要的两个功能是：1.锁定浏览器主页2.保护它自身。
有人初步分析以后告诉我这个文 ...

问题是作者就是在卸载了浏览器之后却发现这个驱动还在加载。如果确实如他所说，这就是妥妥的流氓软件了。

另外主流的浏览器基本上不会加驱，这也是事实。开发不良的驱动可能对系统造成安全隐患，也可能影响系统稳定性，因此不必要的场合应该尽量避免加驱。而浏览器用驱动提供锁定主页功能，在我看来这明显是不必要的。

别人使用流氓手段那我们自己也要用，这个逻辑是中国互联网流氓之风盛行的主要原因。

hikehiking

大蜘蛛已经把安装包下载地址拉黑了

windows7爱好者

尘梦幽然 发表于 2016-8-13 16:03
是这样的，这个文件最重要的两个功能是：1.锁定浏览器主页2.保护它自身。
有人初步分析以后告诉我这个文 ...

win10 X64该驱动不会自动卸载
建议你提交铁壳吧，这个东西不会按照正常渠道删除的