毛豆已更新。。。

HEMM

諾言敵不過時間 发表于 2016-9-25 20:28
嗯對，入過的~

我这边DLL从来都没入过一次......好奇特.......

諾言敵不過時間

HEMM 发表于 2016-9-25 20:36
我这边DLL从来都没入过一次......好奇特.......

不是吧...  我這只有CCAV不入dll的樣子

HEMM

諾言敵不過時間 发表于 2016-9-25 20:44
不是吧...  我這只有CCAV不入dll的樣子

你试试双击这个，BUG豆不会信任它的，沙盘会入沙。
给个截图就好，不信任它，它的dll，我这里不入.....
一款被破解的了恢复软件，没压缩KEY。
只把主程序和dll压缩了，你解压后看看入不入。我这边入，但是dll没发现入= =
我又发神经了，这个被BUG豆识别为恶意的了.....
真是，我脑子在想什么呢?
╮(╯-╰)╭好吧，除了痛就只剩下抽疯了......

諾言敵不過時間

HEMM 发表于 2016-9-25 20:49
你试试双击这个，BUG豆不会信任它的，沙盘会入沙。
给个截图就好，不信任它，它的dll，我这里不入.. ...

我沒有虛擬機不敢雙擊... 而且現在用著CCAV..

ccboxes

68221281 发表于 2016-9-25 19:17
谢谢回复，看来我得去好好研究沙盒规则了。以前很看不起360的小白鼠云，现在觉得这在天朝的确还是很有 ...

啥白鼠云。。。。。。。。。。。。。。云技术是现代安软的支柱之一，不论其他方面，360的云做的还是可圈可点的。

柯林

HEMM 发表于 2016-9-25 20:20
一样会漏，我记得默认规则的加强模式我瞄过一眼，虽然删掉了，但是里面就有所有恶意的全部隔离，所有未知 ...

有漏也正常，毕竟每一款东西不能够做到100%，监控点总有缺失的，更别说为了易用，内部妥协性问题了，再加上你念念不忘的BUG，有少数被漏的，理论上属于正常

你们说的dll拦截问题，个人看法，理论上不可能：HIPS讲究父子进程关系，权限继承，说的是子进程继承父进程的权限，父进程不可靠，子进程一样不可靠。反过来说，子进程不可靠，则父进程不可靠，这种方法是要不得的，不能支持的，如果支持，资源管理器、svchost之类啪啪啪入沙了，就是死机蓝屏的节奏！dll加载，按父子进程角度看，exe是父程序，被加载的dll是子程序，按道理，毛豆不可能因为dll的不可靠而反过来把exe入沙！毛豆要拦截dll，只能是，病毒扫描程序或病毒启发跟踪程序发现dll有问题的，直接当作病毒隔离或禁止读取，大概只能做到这样，不可能把dll及加载它的exe入沙。

HEMM 发表于 2016-9-25 20:33
规则我都删除了，要问的太多.....我不喜欢发问型......手酸。
那你这个没绕过啊，只要在询问的时候阻 ...

我是在shadow defender下测试的。默认模式是绕过了所有的，就是无任何弹窗，沙盒+hips+防火墙。疯狂模式弹了很多窗，一开始就弹。之前是Firewall Security配置、安全模式、设置如下图。
我给你看看开头的几个调用，这是用疯狂模式记录的：
  conhost.exe→cmd.exe→YYExplorer.exe（带数签的白exe）→修改dat文件夹下面的debug.log（看了下log，是chrome.dll调用失败）
  我猜这是白exe直接调用黑dll失败了
  taskeng.exe访问受保护COM接口下svchost.exe
  YYExplorer.exe执行taskkill.exe
  YYExplorer.exe执行shimgvw.dll
  conhost.exe访问taskkill.exe内存
  taskeng.exe访问svchost.exe内存
  YYExplorer.exe执行rundll.32.exe
  taskkill.exe访问受保护COM接口
  ……

经人指点，这种调用较为常见 ，就是不知道为啥不弹个窗，我默认一直用的很爽，改规则费事啊。

5315929

有专门针对毛豆的病毒吗

lixihong10

系统免疫修改继续


允许

允许

GG

防火墙有提示。

liulangzhecgr

2016/9/26 09:38:30    创建新进程 (2)    允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c Dat\YYExplorer.exe
规则: [应用程序]c:\windows\explorer.exe

2016/9/26 09:38:46    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\program files\virustest\信誉价格表\信誉价格表\dat\yyexplorer.exe
命令行: Dat\YYExplorer.exe
规则: [应用程序]*

2016/9/26 09:39:18    创建注册表项    允许
进程: c:\program files\virustest\信誉价格表\信誉价格表\dat\yyexplorer.exe
目标: HKEY_CURRENT_USER\SOFTWARE\duowan\YYExplorer
规则: [应用程序组]病毒测试 -> [注册表]*

2016/9/26 09:39:24    创建注册表项    允许
进程: c:\program files\virustest\信誉价格表\信誉价格表\dat\yyexplorer.exe
目标: HKEY_CURRENT_USER\Software\duowan
规则: [应用程序组]病毒测试 -> [注册表]*

2016/9/26 09:39:30    创建注册表项    允许
进程: c:\program files\virustest\信誉价格表\信誉价格表\dat\yyexplorer.exe
目标: HKEY_CURRENT_USER\Software\duowan\YYExplorer\Etw
规则: [应用程序组]病毒测试 -> [注册表]*

2016/9/26 09:39:53    创建文件夹    允许
进程: c:\program files\virustest\信誉价格表\信誉价格表\dat\yyexplorer.exe
目标: C:\Users\yiqing\AppData\Local\Temp\yyexplorer_dump
规则: [应用程序组]病毒测试 -> [文件]*

2016/9/26 09:40:11    创建文件    允许
进程: c:\program files\virustest\信誉价格表\信誉价格表\dat\yyexplorer.exe
目标: C:\Program Files\VirusTest\信誉价格表\信誉价格表\Dat\debug.log
规则: [应用程序组]病毒测试 -> [应用程序]c:\program files\virustest\信誉价格表\信誉价格表\dat\yyexplorer.exe -> [文件]c:\program files\virustest\信誉价格表\*

2016/9/26 09:40:41    加载动态链接库    允许
进程: c:\program files\virustest\信誉价格表\信誉价格表\dat\yyexplorer.exe
目标: c:\program files\virustest\信誉价格表\信誉价格表\dat\chrome.dll
规则: [应用程序组]病毒测试 -> [动态链接库]*

无往下...