某样本利用模拟击键可操作卡巴弹窗

显示全部楼层 · 发表于 2016-8-17 14:07:42

dongwenqi 发表于 2016-8-17 14:04
这个你问下@pal家族，他用过这个组合键

我的意思是解除模拟击键并不难，问题是在解除过程中样本一直在击键

显示全部楼层 · 发表于 2016-8-17 14:29:29

问题是这种被绕过的可能性微乎其微，你毕竟是手动排除的文件，而且是取消自动处理，正常情况下，绕过的可能性微乎其微啊

显示全部楼层 · 发表于 2016-8-17 14:36:01

诶诶，今天不休息啊
我怎么看到了上班人士啊~~~

显示全部楼层 · 发表于 2016-8-17 14:37:20

驭龙发表于 2016-8-17 14:29
问题是这种被绕过的可能性微乎其微，你毕竟是手动排除的文件，而且是取消自动处理，正常情况下，绕过的可能 ...

手动排除文件这个确实大幅度提高的绕过概率，毕竟卡巴的扫描还是很厉害的。至于自动处理是这样的，仅本样本中，即使是自动处理也会是自动允许操作，毕竟拦截的日志多数呈黄色，而不是红色，一般来说黄色是推荐允许的，在交互模式下，Enter键就相当于弹窗中推荐操作的快捷键。

显示全部楼层 · 发表于 2016-8-17 14:39:50

电脑发烧友发表于 2016-8-17 14:37
手动排除文件这个确实大幅度提高的绕过概率，毕竟卡巴的扫描还是很厉害的。至于自动处理是这样的，仅本样 ...

可问题是，不排除的话，这东西能运行么？自动处理不是直接删除入库和UDS的威胁么？

显示全部楼层 · 发表于 2016-8-17 14:43:02

驭龙发表于 2016-8-17 14:39
可问题是，不排除的话，这东西能运行么？自动处理不是直接删除入库和UDS的威胁么？

其实我的意思是，遇到类似的没有入库的东西，而且开的是交互模式，可能会出事（好吧，概率太低了，强迫症犯了）

显示全部楼层 · 发表于 2016-8-17 14:45:00

电脑发烧友发表于 2016-8-17 14:43
其实我的意思是，遇到类似的没有入库的东西，而且开的是交互模式，可能会出事（好吧，概率太低了，强迫症 ...

这种概率是很低的不是么？

而且凡是安全产品都能找到一大堆问题，没有完美产品，所以没必要太纠结的

显示全部楼层 · 发表于 2016-8-17 14:46:57

驭龙发表于 2016-8-17 14:45
这种概率是很低的不是么？

而且凡是安全产品都能找到一大堆问题，没有完美产品，所以没必要太纠结的

嗯，接续用，反正卡巴总体还是很厉害的

显示全部楼层 · 发表于 2016-8-17 14:54:31

电脑发烧友发表于 2016-8-17 14:46
嗯，接续用，反正卡巴总体还是很厉害的

是啊，卡巴整体上是很强的，只是稳定性和兼容性差一点，我RS1系统只能等补丁B，或者MR1才能用了

看B补丁的文件，好像没有驱动层文件和引擎模块，都是用户层文件的改进，所以不清楚是否解除RS1上的限制了，这不好玩啊

显示全部楼层 · 发表于 2016-8-17 14:58:53

驭龙发表于 2016-8-17 14:54
是啊，卡巴整体上是很强的，只是稳定性和兼容性差一点，我RS1系统只能等补丁B，或者MR1才能用了

看B补 ...

B补丁是2017么？我记得昨天2016的E补丁发布了。话说，在win10下键盘记录和访问屏幕在应用程序控制里都消失了，有点可惜。

[已解决] 某样本利用模拟击键可操作卡巴弹窗