12
返回列表 发新帖
楼主: kfne12
收起左侧

[讨论] 关于speedmem2.hg和双引号的诡异故事

[复制链接]
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-17 16:14:39 | 显示全部楼层
ozc 发表于 2018-4-17 14:53
你QQ是多少,需要解压密码

知道你不是来干坏事的。密码已经pm你
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-18 17:05:54 | 显示全部楼层
360主动防御 发表于 2018-4-16 19:43
这个问题和speedmem2.hg没关系,是云规则上对regsvr32执行命令行使用双引号进行混淆的情况拦截逻辑有问题
...

9楼的情况到底做何解释啊?目前7楼的解释根本解释不了我9楼出现的情况啊。

期待你给个技术上的专业答复,不然以我的水平是想不明白了。

360主动防御
发表于 2018-4-18 21:39:34 | 显示全部楼层
kfne12 发表于 2018-4-18 17:05
9楼的情况到底做何解释啊?目前7楼的解释根本解释不了我9楼出现的情况啊。

期待你给个技术上的专业答 ...

9楼的问题开发正在核实呢,有进度会同步
360主动防御
发表于 2018-4-19 16:08:32 | 显示全部楼层
kfne12 发表于 2018-4-18 17:05
9楼的情况到底做何解释啊?目前7楼的解释根本解释不了我9楼出现的情况啊。

期待你给个技术上的专业答 ...

我们已经调整规则拦了,并且对regsvr32可能的命令行形式做了排查,相应的之前未拦截的也支持拦截了,您后续再试试,有问题可以再反馈
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-19 16:44:14 | 显示全部楼层
本帖最后由 kfne12 于 2018-4-19 17:02 编辑
360主动防御 发表于 2018-4-19 16:08
我们已经调整规则拦了,并且对regsvr32可能的命令行形式做了排查,相应的之前未拦截的也支持拦截了,您后 ...

我觉得我1楼和9楼文字的意思已经很清楚了啊。

但是到现在为止,你们都仍然在误解我的意思。

我并不是来反馈什么绕过拦截的方法!绕过主防的方法那么多,我对反馈这些没兴趣。

我要说反映是:为什么运行了b.lnk后,本应该拦截的a.lnk就不拦截了。
我在1楼和9楼反复说的都是这一点啊!你们到底看过我的描述没有啊??



出现“运行了b.lnk后,本应该拦截的a.lnk就不拦截”的情况的原因是什么,表面上看这个问题不要紧,因为一般情形下,下载解压保护建议的缓存也会起作用,但是这里面会不会有什么更深层测的BUG存在影响到其他场景?

如果仅仅是一个为了优化性能建立了一个进程的白名单造成了这个一个现象,那也不算什么,但万一不是呢?

如果我这样表达仍然让你看不懂,我还能怎么做?





kfne12
头像被屏蔽
 楼主| 发表于 2018-4-19 17:46:47 | 显示全部楼层
360主动防御 发表于 2018-4-19 16:08
我们已经调整规则拦了,并且对regsvr32可能的命令行形式做了排查,相应的之前未拦截的也支持拦截了,您后 ...

麻烦你转告一下你们的技术同事一下:我只想知道运行B之后,本该拦截的A就不拦截的原因是什么。解释一下这个就行。

再说,说是做了排查,目前的拦截依然是可以绕过的,

但是话说回来,这些绕过能不能拦截,我真的不感兴趣。
我只想知道,为什么会出现运行B之后,本该拦截的A就不拦截。
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-19 17:48:17 | 显示全部楼层
本帖最后由 kfne12 于 2018-4-19 17:49 编辑

只要把scrobj.dll放到同目录命名为a.dll
然后J:\Windows\System32\regsvr32.exe /u /n /s /i:1.txt a.dll
这不就又绕过了吗?

但是我真正想知道的是:运行完B,再运行本来该拦截的A,就不拦截A了是什么原因。原谅我是个死脑筋,就想知道这个。
360主动防御
发表于 2018-4-19 18:29:29 | 显示全部楼层
kfne12 发表于 2018-4-19 17:48
只要把scrobj.dll放到同目录命名为a.dll
然后J:\Windows\System32\regsvr32.exe /u /n /s /i:1.txt a.dll
...

关于speedmem2.hg这个我们这边测试已经可以拦截了,您那边现在测试下看看能否正常拦截,如果不能咱们QQ沟通一下,我们远程看看;

关于您说的运行完B,再运行本来该拦截的A,就不拦截A了的原因:一开始是为了考虑到性能方面的问题,但现在已经添加规则了,您可以再试试,有问题的话我们QQ再沟通一下
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-19 20:00:29 | 显示全部楼层
本帖最后由 kfne12 于 2018-4-19 21:17 编辑
360主动防御 发表于 2018-4-19 18:29
关于speedmem2.hg这个我们这边测试已经可以拦截了,您那边现在测试下看看能否正常拦截,如果不能咱们QQ沟 ...

理解错了,我先编辑掉


kfne12
头像被屏蔽
 楼主| 发表于 2018-4-19 21:10:52 | 显示全部楼层
本帖最后由 kfne12 于 2018-4-20 04:31 编辑
360主动防御 发表于 2018-4-19 18:29
关于speedmem2.hg这个我们这边测试已经可以拦截了,您那边现在测试下看看能否正常拦截,如果不能咱们QQ沟 ...
关于speedmem2.hg这个我们这边测试已经可以拦截了

算了,我不捣鼓这事了,基本弄明白怎么回事了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 08:15 , Processed in 0.100270 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表