测试了一下，火绒和360一样，某些病毒是用哈希值入库。

显示全部楼层 · 发表于 2019-4-19 23:39:57

安全守护者发表于 2019-4-19 23:01
一般会现拉黑然后在通杀

这个是十几天前的样本，不是今天的样本。

显示全部楼层 · 发表于 2019-4-20 11:44:48

真有高手啊。我还是用卡巴算了

显示全部楼层 · 发表于 2019-4-20 16:47:17

这火绒的官方人士态度很好，看来火绒会越来越好的。

显示全部楼层 · 发表于 2019-4-21 15:36:24

yjwfdc1 发表于 2019-4-18 23:36
从这个贴子下载Bootkit.Pitou (19.04.10)
https://bbs.kafan.cn/thread-2146966-1-1.html
...

你测试下，是这个样本对win10 1903（我虚拟机用的是mbr，不是uef)不起作用，还是。。。

显示全部楼层 · 发表于 2019-4-21 19:47:48

本帖最后由 yjwfdc 于 2019-4-21 19:52 编辑

vm001 发表于 2019-4-21 15:36
你测试下，是这个样本对win10 1903（我虚拟机用的是mbr，不是uef)不起作用，还是。。。

我没win10 1903,大肉鸡说过,这个病毒在win10 64位会拦截微端口，中了毒也查不出来，你用驱动级的看看。
虚拟机如果能进pe，就进pe查。

还有一个简单的办法，不一定有效，就是用电脑速度卫士改mbr方式，重启后看修改是不是成功的，如果重启后又没有修改一样，就是被拦截了。

显示全部楼层 · 发表于 2019-4-21 21:39:50

yjwfdc 发表于 2019-4-21 19:47
我没win10 1903,大肉鸡说过,这个病毒在win10 64位会拦截微端口，中了毒也查不出来，你用驱动级的看看。
...

1809上测试染毒后，急救箱能查出来，刚才在1903上测试，重启后急救箱扫描无异常

显示全部楼层 · 发表于 2019-4-21 22:55:22

vm001 发表于 2019-4-21 21:39
1809上测试染毒后，急救箱能查出来，刚才在1903上测试，重启后急救箱扫描无异常

要确定是不是真的没有染毒，
如果真的没有染毒，可能1903系统不支持病毒。
如果真的中毒，可能1903系统不支持急救箱。

显示全部楼层 · 发表于 2019-4-22 08:17:37

yjwfdc 发表于 2019-4-21 22:55
要确定是不是真的没有染毒，
如果真的没有染毒，可能1903系统不支持病毒。
如果真的中毒，可能1903系统 ...

应该是病毒在1903上无法染毒，bootice查看mbr也是正常的

显示全部楼层 · 发表于 2019-4-22 11:47:40

vm001 发表于 2019-4-22 08:17
应该是病毒在1903上无法染毒，bootice查看mbr也是正常的

在pe下看最准确，bootice不是驱动级的吧。bootice用电脑速度卫士的r3保护都能拦截。

[讨论] 测试了一下，火绒和360一样，某些病毒是用哈希值入库。