脚本类样本包_6X

pal家族

更新5L 发两张图，懂的自然的

pal家族

刚才扫描，发现最后剩余的js也被入库了
删除的同时，还回滚了不少注册表改点。
这也算是一种修复流程吧。。。。。。。扫描器或者监控与SW的联动@T.Yoshiyuki @驭龙

04.10.2016 14.14.12;Detected object (file) deleted;D:\360安全浏览器下载\Samples_6X\Samples_a84c5e7c878b17ee88ae17cd9fbb67f40d3ca293c0a33c645e369839ca56b9d5.js;D:\360安全浏览器下载\Samples_6X\Samples_a84c5e7c878b17ee88ae17cd9fbb67f40d3ca293c0a33c645e369839ca56b9d5.js;Trojan-Downloader.JS.Agent.asdfsr;Trojan program;10/04/2016 14:14:12

驭龙

pal家族 发表于 2016-10-4 14:17
刚才扫描，发现最后剩余的js也被入库了
删除的同时，还回滚了不少注册表改点。
这也算是一种修复流程吧。 ...

修复流程而已，死样本是不可能存在回滚情况的，这是一种清毒机制

T.Yoshiyuki

pal家族 发表于 2016-10-4 15:17
刚才扫描，发现最后剩余的js也被入库了
删除的同时，还回滚了不少注册表改点。
这也算是一种修复流程吧。 ...

安軟都有修復流程這是不容質疑的 我不喜歡的只是那些把SEP的超長“未決分析”用單純的“普通修復流程”來解釋的言論

我反正一直強調兩點發現：
1、文件監控和掃描器模塊不同，甚至“打架”（掃描時一個報了另一個再報，這是一般安軟不會有的事）
2、文件監控清毒時間往往大於掃描器清毒時間，甚至幾十倍（報一個毒等十多分鐘的情況不是沒有）

討論的重點一直是“未決分析是在幹什麼，與掃描器的清毒有什麼不同”和“爲什麼SEP要這麼設計，是否不科學” 其實跟別的軟件沒什麼關係了 因爲它真的很奇葩

pal家族

驭龙 发表于 2016-10-4 14:34
修复流程而已，死样本是不可能存在回滚情况的，这是一种清毒机制

肯定是回滚，当时没有检测，但是双击时行为给记录下来了
再次检测时调用记录给回滚了
如果当时就检测到了，是不会修改注册表的，根本没有“详细信息”那个东西可以看


以上两幅图，一个是昨天已经检测到的，直接删除。
还有一个今天才检测到的，但昨天已经双击过的，右侧就有详细信息可以看回滚记录

驭龙

T.Yoshiyuki 发表于 2016-10-4 14:34
安軟都有修復流程這是不容質疑的 我不喜歡的只是那些把SEP的超長“未決分析”用單純的“普通修復流程”來 ...

谁说别的没有未决分析？只不过是叫法不同而已，你去试试红伞和BD WD扫描以后发现威胁的时候，是不是要等很久？只不过是叫法不同而已

T.Yoshiyuki

pal家族 发表于 2016-10-4 15:17
刚才扫描，发现最后剩余的js也被入库了
删除的同时，还回滚了不少注册表改点。
这也算是一种修复流程吧。 ...

至於卡巴這些“回滚”只不過是一種“懶政”的表現
因爲你仔細看那些所謂“修復項” 其實都是對一些系統關鍵點的“還原” 而且也不是還原 是用它所謂的“正確配置”去覆蓋了

想想都知道 這個染毒文件你根本沒有運行 怎麼會有惡意註冊表項呢？

所以 這種很多安全軟件都有的“無腦修復”其實跟追溯病毒源頭的回滾半毛錢關係都沒有
比如BD結束掃毒任務後 會強制將ie默認搜索變成必應（畢竟裝機初始狀態是必應啊 我去你的） 還會對啓動加載的一些程序做手腳（比如mactype的啓動項就會被他幹掉）
比如趨勢 這個就不說了

總之 我的意思是 這個例子非常不貼切

pal家族

T.Yoshiyuki 发表于 2016-10-4 14:38
至於卡巴這些“回滚”只不過是一種“懶政”的表現
因爲你仔細看那些所謂“修復項” 其實都是對一些系統 ...

我昨天双击过了啊。。。。没有看嘛，，，，，，，
没有双击过的就没有那些，看上一楼我又贴了图

驭龙

pal家族 发表于 2016-10-4 14:35
肯定是回滚，当时没有检测，但是双击时行为给记录下来了
再次检测时调用记录给回滚了
如果当时就检测 ...

这个是SW记录了可疑行为，获得反馈以后的清毒，你试一下在别的环境（没有双击样本的环境）下扫描样本就知道有没有回滚了

pal家族

驭龙 发表于 2016-10-4 14:41
这个是SW记录了可疑行为，获得反馈以后的清毒，你试一下在别的环境（没有双击样本的环境）下扫描样本就知 ...

昨天已经入库没有双击的算吗昨天那个js直接删掉了没有回复注册表，图里有。