改主页驱动木马一枚，运行后几乎免疫所有杀软

kaba666

whl2606555 发表于 2018-12-9 13:04
所以我卡巴和火绒两个都不用。
卡巴在我的测试中回滚始终不干净，火绒主防报毒拦截点也靠后。

你要卡巴回滚干净？那做不到，你没搞懂卡巴回滚原理！卡巴只对一个安装包运行后的某个程序的危险行为回滚！并不是一个安装包从头到安装后的全部回滚！，火绒拦截靠后这个问题，是个问题，我个人分析是也许是对其它杀软做出的让步！

记录微笑

kaba666 发表于 2018-12-9 13:12
你要卡巴回滚干净？那做不到，你没搞懂卡巴回滚原理！卡巴只对一个安装包运行后的某个程序的危险行为回滚 ...

所以人家恶意更改注册表，禁止桌面右键等行为在你看来不危险？
你说回滚原理，你真的完全弄懂回滚是怎么一回事了吗？

kaba666

whl2606555 发表于 2018-12-9 13:13
所以人家恶意更改注册表，禁止桌面右键等行为在你看来不危险？
你说回滚原理，你真的完全弄懂回滚是怎么 ...

你知道阿里旺旺被PDM报毒一事嘛？回滚干净没有？没有 吧！WINDOWS用户文件里大量的阿里旺旺残留！安装文件夹里也有文件在，要想全部回滚，可能做不到！卡巴是杀毒，不是还原工具，只对恶意行为回滚，要是全部回滚，得要虚拟机运行原理！实机下如对一个安装包从安装到结束再到运行，会对系统很多地方进行修改或添加之类的行为！假如卡巴这样从头到尾都回滚！就会对系统造成破坏！

记录微笑

kaba666 发表于 2018-12-9 13:30
你知道阿里旺旺被PDM报毒一事嘛？回滚干净没有？没有 吧！WINDOWS用户文件里大量的阿里旺旺残留！安装文 ...

也就是说你认为恶意写注册表，禁止桌面右键是合法行为？我有说卡巴会回滚所有操作吗？

kaba666

whl2606555 发表于 2018-12-9 13:36
也就是说你认为恶意写注册表，禁止桌面右键是合法行为？我有说卡巴会回滚所有操作吗？

哦！你问这个,这个肯定不合法！你认为那个杀软没拦截到，你可以不用，如果某个杀软有可以自定义规则，你可以自己创建规则！但是卡巴应用程序控制可以自定义创建规则，火绒也可以！你自己可以设置！你要记住这一点天下没有什么杀软是万能的！适合自己的就行了！就像你所的，你不喜欢用卡巴和火绒！我喜欢用~，你总不能你不喜欢也让别人不喜欢吧？

记录微笑

kaba666 发表于 2018-12-9 13:44
哦！你问这个,这个肯定不合法！你认为那个杀软没拦截到，你可以不用，如果某个杀软有可以自定义规则，你 ...

既然这样，那就不用吵了。我也没说什么杀软是万能的。

kaba666

whl2606555 发表于 2018-12-9 13:47
既然这样，那就不用吵了。我也没说什么杀软是万能的。

我也没说恶意写注册表，禁止桌面右键是合法行为！

sayhi1984

驱动级，貌似有一杀便蓝屏的既视感

泪水涟漪

whl2606555 发表于 2018-12-5 22:15
其实我认为GD有意隐藏了主防关闭按钮蛮好的，保证了用户即使关闭了文件系统监控后还有一道防线。

对于没入库的也就是看gd的主防和回滚了，如果驱动被加载了，回滚一下可能会蓝。。。改天vm里测试下

泪水涟漪

落华无痕 发表于 2018-12-5 23:06
就算进pe删除，也得知道病毒在哪里呢。木马运行后重启了电脑的话，杀软根本扫描不到木马。没经验的人来说 ...

只要入库刻个Pe查杀盘，然后你懂的