关于speedmem2.hg和双引号的诡异故事

kfne12

ozc 发表于 2018-4-17 14:53
你QQ是多少，需要解压密码

知道你不是来干坏事的。密码已经pm你

kfne12

360主动防御 发表于 2018-4-16 19:43
这个问题和speedmem2.hg没关系，是云规则上对regsvr32执行命令行使用双引号进行混淆的情况拦截逻辑有问题
...

9楼的情况到底做何解释啊？目前7楼的解释根本解释不了我9楼出现的情况啊。

期待你给个技术上的专业答复，不然以我的水平是想不明白了。

360主动防御

kfne12 发表于 2018-4-18 17:05
9楼的情况到底做何解释啊？目前7楼的解释根本解释不了我9楼出现的情况啊。

期待你给个技术上的专业答 ...

9楼的问题开发正在核实呢，有进度会同步

360主动防御

kfne12 发表于 2018-4-18 17:05
9楼的情况到底做何解释啊？目前7楼的解释根本解释不了我9楼出现的情况啊。

期待你给个技术上的专业答 ...

我们已经调整规则拦了，并且对regsvr32可能的命令行形式做了排查，相应的之前未拦截的也支持拦截了，您后续再试试，有问题可以再反馈

kfne12

360主动防御 发表于 2018-4-19 16:08
我们已经调整规则拦了，并且对regsvr32可能的命令行形式做了排查，相应的之前未拦截的也支持拦截了，您后 ...

我觉得我1楼和9楼文字的意思已经很清楚了啊。

但是到现在为止，你们都仍然在误解我的意思。

我并不是来反馈什么绕过拦截的方法！绕过主防的方法那么多，我对反馈这些没兴趣。

我要说反映是：为什么运行了b.lnk后，本应该拦截的a.lnk就不拦截了。
我在1楼和9楼反复说的都是这一点啊！你们到底看过我的描述没有啊？？



出现“运行了b.lnk后，本应该拦截的a.lnk就不拦截”的情况的原因是什么，表面上看这个问题不要紧，因为一般情形下，下载解压保护建议的缓存也会起作用，但是这里面会不会有什么更深层测的BUG存在影响到其他场景？

如果仅仅是一个为了优化性能建立了一个进程的白名单造成了这个一个现象，那也不算什么，但万一不是呢？

如果我这样表达仍然让你看不懂，我还能怎么做？

kfne12

360主动防御 发表于 2018-4-19 16:08
我们已经调整规则拦了，并且对regsvr32可能的命令行形式做了排查，相应的之前未拦截的也支持拦截了，您后 ...

麻烦你转告一下你们的技术同事一下：我只想知道运行B之后，本该拦截的A就不拦截的原因是什么。解释一下这个就行。

再说，说是做了排查，目前的拦截依然是可以绕过的，

但是话说回来，这些绕过能不能拦截，我真的不感兴趣。
我只想知道，为什么会出现运行B之后，本该拦截的A就不拦截。

kfne12

只要把scrobj.dll放到同目录命名为a.dll
然后J:\Windows\System32\regsvr32.exe /u /n /s /i:1.txt a.dll
这不就又绕过了吗？

但是我真正想知道的是：运行完B，再运行本来该拦截的A，就不拦截A了是什么原因。原谅我是个死脑筋，就想知道这个。

360主动防御

kfne12 发表于 2018-4-19 17:48
只要把scrobj.dll放到同目录命名为a.dll
然后J:\Windows\System32\regsvr32.exe /u /n /s /i:1.txt a.dll
...

关于speedmem2.hg这个我们这边测试已经可以拦截了，您那边现在测试下看看能否正常拦截，如果不能咱们QQ沟通一下，我们远程看看；

关于您说的运行完B，再运行本来该拦截的A，就不拦截A了的原因：一开始是为了考虑到性能方面的问题，但现在已经添加规则了，您可以再试试，有问题的话我们QQ再沟通一下

kfne12

360主动防御 发表于 2018-4-19 18:29
关于speedmem2.hg这个我们这边测试已经可以拦截了，您那边现在测试下看看能否正常拦截，如果不能咱们QQ沟 ...

理解错了，我先编辑掉

kfne12

360主动防御 发表于 2018-4-19 18:29
关于speedmem2.hg这个我们这边测试已经可以拦截了，您那边现在测试下看看能否正常拦截，如果不能咱们QQ沟 ...

关于speedmem2.hg这个我们这边测试已经可以拦截了

算了,我不捣鼓这事了,基本弄明白怎么回事了