【0526更新】两天前病毒库离线VS最新样本测试大蜘蛛、comodo10、国产杀软

skycai

ikochina 发表于 2017-5-25 09:40
扯淡，你检查下360、毒霸、管家的安装文件夹大小，看看病毒库是不是本地，要是全云上，还更新个毛啊，主 ...

你得找出病毒库的目录。
你可以找找，如果不理oem，他们各自的病毒库有多少。

skycai

ikochina 发表于 2017-5-25 09:52
就拿现在的勒索者病毒来说，如果病毒进入电脑后先不是加密，而是先断网（别觉得不可能，很简单的一条命令 ...

至于你自己怎么想，就怎么想吧。

ikochina

ylmfhhh 发表于 2017-5-25 16:57
本地主防御和云主防御比较争义的话题，静静地看测试了，楼主已经几次测试了微点还不错，不算太差，再说微 ...

上次测试记得微点下载后就是5月15号病毒库，可不算旧哦，相比之下，费尔真的是老掉牙了，才2017年的版本，虽然病毒库最新，但有些东西确实还是要更新换代了。相对来说传统老主防的杀软表现都不算太差，只是很多人接受不了云杀软的成绩，其实也比较搞笑，要对付这种所谓的云杀软有太多办法了，一个命令就让它断网了，而且杀软还不会提示为什么断网，那么这种环境下你还告诉病毒说，你不能断我网吗？没有一步登天的牛软，有的只有踏踏实实不断创新的研发新技术来强大自己基本功才是正理。云杀软是以后一定会走的路，只不过就目前来说，要走的路还长，至少得智能化更高才行，在常用软件中杀软得智能化发展算是比较高得了，但面对层出不穷的病毒来说，这些还不够。俗话说没有滴水不漏的系统，杀软也一样，不管多牛掰的杀软，都有自己的缺陷，而杀软的未来，要弥补这些缺陷，我个人认为只有智能化，说白了也就是本地引擎+云服务器的智能化

ylmfhhh

ikochina 发表于 2017-5-25 17:21
上次测试记得微点下载后就是5月15号病毒库，可不算旧哦，相比之下，费尔真的是老掉牙了，才2017年的版本 ...

这个我赞成，本地引擎+云服务器的智能化必须要有，我是微点用户所以比较偏心微点，费尔很少用

ikochina

skycai 发表于 2017-5-25 17:04
你得找出病毒库的目录。
你可以找找，如果不理oem，他们各自的病毒库有多少。

就拿360来说吧。C:\Program Files\360\360sd\savapi（这个应该是红伞病毒库，也是最大的，200多兆）、C:\Program Files\360\360sd\Plugins、C:\Program Files\360\360sd\model、C:\Program Files\360\360sd\qexvmmodel等几个文件确实不大，因为病毒库红伞已经加载了，360只需要进行补充，而不是把360的病毒库也全部放进来，如果是还需要全部放进来，还要oem引擎和病毒库干啥，这个问题说得有点太那啥了。说白了，就比如手机生厂商，安卓开源，大家也用安卓二次开发加入自己的一些应用、ui等等，也有自家的黑科技，应用还云化（比如云os），甚至替换掉安卓的虚拟机，改为自己研发的虚拟机，大家买了就用，但系统好不好用用过就知道，各有各的优势，也各有各的缺点，但总体来说本地+云是趋势，而云最大的作用并不是体现在防御上，而是体现在样本收集处理与分发上，这就像以前用还原卡，可以保证你系统中毒后还你一个干净的系统，并不能保证你文件不受感染，要杜绝文件受感染，还是得靠本地引擎，而智能化才是下一个趋势中最重要得一环，当机器算法能完全取代人工得时候，本地引擎才能做到防范于未然，就目前来说，杀毒技术已经很多年没有更好得发展了，可以说是进入了一个瓶颈期，熊猫烧香让杀软进入虚拟机时代和主防时代，也许这次得勒索者可以推进杀软得智能化开端，或许也是一个好事。
如果你一直纠结于病毒库，那么你让随便哪家云杀软去掉oem引擎，看看它本地库保留多少兆，各家的优势劣势它们自己是清楚的，这也是为什么在自有技术不错的时候还要采用oem引擎的原因，oem并不是说只是增加名气的广告，从360来说，初期采用安天，后来bd，然后bd+小红伞，到现在的单独小红伞，金山的初期大蜘蛛引擎到现在的红伞引擎，电脑管家的bd引擎到红伞再到现在的bd引擎，百度的卡巴引擎，这些无疑都说明了一点，本地引擎的重要性

其实是老人

ylmfhhh 发表于 2017-5-25 16:57
本地主防御和云主防御比较争义的话题，静静地看测试了，楼主已经几次测试了微点还不错，不算太差，再说微 ...

我上传了个样本包，都是老毒改md5，有兴趣可以试试。
http://bbs.kafan.cn/thread-2090909-1-1.html

kinerarten

ikochina 发表于 2017-5-24 12:14
快了，在测mes了，然后毛豆就搞定了

嗯，看到了，最后的毛豆是最麻烦的，会影响很多通讯，感觉还会影响电脑的流畅度~

zyx9

做个免杀，然后联网测试，随便加个壳，过VT四分之三总是可以的。
我也测试过jaff，jaff一直在变种，国外貌似很流行，新变种基本都是过国内所有杀软。

360联网下测试，过扫描，运行拦截，但是D盘文档被加密，全部wlu格式。对付jaff，目前瑞仙剑还有效。

ikochina

今天再样本区发现http://bbs.kafan.cn/thread-2090748-1-1.html这个样本，用aspack2.38加壳，同时加壳交通银行浏览器插件（测试杀软会不会遇到壳就报），我们在联网最新病毒库，开启最强防御的状态下试试这个新的勒索变种。1、电脑管家
本次更新后需要重启电脑

最后这个是在点击阻止后出现的
2、360全家桶

表现不错，刚复制到电脑，更新病毒库，刚更新完就自动杀掉了
断网不更新

断网更新

这里比较有意思，用系统进程管理器结束掉病毒的进程后，回到桌面竟然一切正常

3、费尔
断网不更新

你没看错，费尔把正常文件也干掉了

更新到最新病毒库结果一样，误杀大王的称号调不了了
4、大蜘蛛av
看来大蜘蛛的神话也被打破了啊，我们后面再分析这个勒索软件是不是只是把桌面替换覆盖掉了，如果只是替换覆盖而不加密文件，就只能算是恶作剧程序了
5、毒霸

断网不更新和联网更新一样的结果
6、瑞星+瑞星之剑

一样的结果，不过瑞星病毒库并未得到更新，看来更新速度还是差点啊
7、火绒

结果一样
8、comodo

在双击时，提示已经自动加入沙盒，但结果还是这样

一样的结果
9、微点主防

一样的结果
【样本分析】

先建立文件和数据库快照

运行样本，然后等10分钟再运行系统进程管理器结束掉病毒程序，等待的时间我们来“草料二维码”识别下二维码

竟然是这样？真的怀疑这就是个恶搞了，不过我们继续

我们看到启动了看图软件，桌面文件并未加密

通过对比发现，修改、删除、新增了大量文件和应用程序调用，但文件的修改、删除和新增主要集中再系统文件夹和临时文件夹，桌面文件并未加密修改，实际上注册表的变化通过仔细观察发现都属于系统行为，我们再次用
进程跟踪器(Proctracer) v1.0来追踪下更详细的信息
继续等待这次等待4分钟

我们发现该样本仅仅1分钟基本就没动作了
在这1分钟内总共只有31个动作，基本就是打开各种文件，读取文件属性，创建和改写文件却很少，看样本上传者的介绍说是一个智能型病毒，会自动判断文件重要程度，也就是说它判断我桌面的各种文档都不属于重要文件？有点搞不懂啊。
【总结】对于这个样本我本人还是有点怀疑的，感觉恶作剧的成分比较大，从防杀来说，360表现最好，费尔表现也很不错，缺陷就在于误杀了加壳的正常文件，其他杀软全部被过（离线昨天病毒库和在线最新病毒库都一样）

ylmfhhh

测试不要太频繁啊！厂家升级软件都来不及啊！