查看: 6226|回复: 7
收起左侧

[讨论] 趋势主防问题

[复制链接]
ccboxes
发表于 2017-6-9 20:11:12 | 显示全部楼层 |阅读模式
断断续续使用趋势很长时间了,也双击了不少样本,最近我越发怀疑趋势的主防是没有回滚的。在我的所有测试中,除了加密勒索会回滚被加密的文档图片(被加密的其他种类文件无法回滚),我没有见过趋势回滚任何注册表更改、衍生物。其注册表修复靠的是套用修复模板造成了广为诟病的显示隐藏文件问题,其效果也并不乐观,会有很多垃圾项。偶尔杀衍生物也是因为触发了关联扫描,因此双击病毒后总是在Appdata或者System32发现一堆残留文件。

另一个问题是所有测试样本的检测方式都是未经授权的更改,再联想到断网趋势糟糕的效果,是否可以认定趋势的主防与360相同,为单步主防?实际上我在使用趋势时总是想到360,其查杀方式实在很像,区别无非是趋势更安静,默认阻止更多。



诸位是否曾见过趋势在检测样本时,通过多步行为检测到病毒,并回滚其更改?
bbszy
发表于 2017-6-10 14:37:00 | 显示全部楼层
貌似出现过关联性分析回滚带有流氓软件的安装包
ccboxes
 楼主| 发表于 2017-6-10 19:57:07 | 显示全部楼层
bbszy 发表于 2017-6-10 14:37
貌似出现过关联性分析回滚带有流氓软件的安装包

关联扫描我也触发过,与回滚是完全不同的概念。

现在有真正意义上回滚的似乎就只有卡巴,诺顿,GData。
超超~.~
发表于 2017-6-10 20:49:52 | 显示全部楼层
所以我又用回了老司机。。。。
Sailer.X 该用户已被删除
发表于 2017-6-11 02:00:35 来自手机 | 显示全部楼层
ccboxes 发表于 2017-6-10 19:57
关联扫描我也触发过,与回滚是完全不同的概念。

现在有真正意义上回滚的似乎就只有卡巴,诺顿,GData ...

国外的
蜘蛛DPH似乎可以回滚一部分操作
AVG的IDP也是带回滚的(不过现在被avast收购后整合效果不太理想)
BullGuard的主防也带回滚
国内的
微点,这个基本已经死了
费尔,这个也基本已经死了(长期不更新框架和规则,导致误报大量增加,回滚效果也大不如前)



欧阳宣
头像被屏蔽
发表于 2017-6-11 02:41:58 | 显示全部楼层
你有出现过HEUR_AEGISXXXXXXXX的报法么

那是明确的主防定义,有可能会在那些报法下出现回滚
ccboxes
 楼主| 发表于 2017-6-11 10:08:03 | 显示全部楼层
欧阳宣 发表于 2017-6-11 02:41
你有出现过HEUR_AEGISXXXXXXXX的报法么

那是明确的主防定义,有可能会在那些报法下出现回滚

AEGIS出现过很多次,不过还没见过触发回滚。我感觉很奇怪啊,为什么需要特定的定义才能触发回滚,平常的“未经授权的更改”就不能回滚,照理说不该有技术上的问题啊。
ccboxes
 楼主| 发表于 2017-6-11 10:13:16 | 显示全部楼层
霄栋 发表于 2017-6-11 02:00
国外的
蜘蛛DPH似乎可以回滚一部分操作
AVG的IDP也是带回滚的(不过现在被avast收购后整合效果不太理想 ...

DPH也是只能回滚被加密的文件,操作回滚不了。更别提很多情况下都是单步杀,这种情况下会留下大量残余。

IDP我忘掉了,的确也是带回滚的。

BG、微点、费尔没用过。但所谓框架规则不更新应该完全不会影响回滚,我想费尔应该也是套用通用修复模板。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 10:54 , Processed in 0.133683 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表