查看: 7147|回复: 61
收起左侧

[讨论] BD的RootKit检测功能是不是有点弱

[复制链接]
记录微笑
发表于 2019-5-19 23:54:38 | 显示全部楼层 |阅读模式
本帖最后由 whl2606555 于 2019-5-19 23:56 编辑

RT,https://bbs.kafan.cn/thread-2131930-1-1.html,这个是我测试使用的样本,由于只有一个用驱动锁首的行为,没有其他恶意行为,我就直接直接实体机测试了。
这个驱动在没加载的时候BD可以查杀。结果关闭BD的防病毒和ATD,双击后重新打开后BD完全没反应,快速查杀,以及自定义查杀勾选rootkit扫描都没法查杀,直接查杀C:\Windows\sysWOW64\drivers,显示安全,看日志竟然提示找不到jus3310s.sys文件(不得不说这个操作真的是令人窒息,都列出来文件名了还提示找不到该文件)。救援模式还要下载文件,BD在国内的网络极慢,于是就放弃了。
后来用了卡巴的tdsskiller,从扫描到成功清除,花了不到2分钟。
温馨小屋
头像被屏蔽
发表于 2019-5-20 00:07:38 | 显示全部楼层
我记得以前测试里BD清rootkit挺好的,现在倒退了吗
裂空我爱杰
发表于 2019-5-20 07:08:34 来自手机 | 显示全部楼层
能拦截就行了,干嘛要感染模式呀哈哈
欧阳宣
头像被屏蔽
发表于 2019-5-20 09:34:27 | 显示全部楼层
又是这种 单个样本 BDmiss了卡巴杀了

“BD杀rootkit不如卡巴”

的论调
记录微笑
 楼主| 发表于 2019-5-20 12:09:48 | 显示全部楼层
欧阳宣 发表于 2019-5-20 09:34
又是这种 单个样本 BDmiss了卡巴杀了

“BD杀rootkit不如卡巴”

关键是死的驱动能杀,活的就不行了。
我真不知道你的这种论调自己没有反思过吗???
欧阳宣
头像被屏蔽
发表于 2019-5-20 12:53:07 | 显示全部楼层
本帖最后由 欧阳宣 于 2019-5-20 12:56 编辑
whl2606555 发表于 2019-5-20 12:09
关键是死的驱动能杀,活的就不行了。
我真不知道你的这种论调自己没有反思过吗???

我意思是 如果你遇到了恰好是卡巴miss BD拦截了的一个样本

你是不是就得出完全相反的结论了?

你要是完全把注意力放在这一个样本上那当然这个帽子可以扣 但是由一个点推及整体情况是很不客观的 这是第一个点

而且啊
直接实体机测试
在已经知道可以查杀驱动情况下 关闭了防病毒和ATD
这些都是大忌啊
即便是故意测毒也是大忌

以前我也遇到那种一个文件查杀本来是被诺顿杀了 测毒的人自己作死在关闭监控的情况下 去测sonar被过 然后开始喷sonar弱的 你想想你和他有啥区别?这是第二个点

你在明知BD能查杀这个驱动的情况下 故意让恶意驱动避开了监控 感染了 再说BD的rootkit检测能力有问题 该反思的是谁?这个rootkit明明第一步监控就被检测了才对啊。原帖里2楼就是活生生的例子
记录微笑
 楼主| 发表于 2019-5-20 13:04:53 | 显示全部楼层
欧阳宣 发表于 2019-5-20 12:53
我意思是 如果你遇到了恰好是卡巴miss BD拦截了的一个样本

你是不是就得出完全相反的结论了?

万一我先用的激活工具怎么办?
为什么卡巴能扫描到?
我测的是rootkit扫描能力,又不是主防。
欧阳宣
头像被屏蔽
发表于 2019-5-20 13:20:06 | 显示全部楼层
whl2606555 发表于 2019-5-20 13:04
万一我先用的激活工具怎么办?
为什么卡巴能扫描到?
我测的是rootkit扫描能力,又不是主防。

但是你扣帽子扣的是“检测能力”,那BD第一步就检测/扫描到这个驱动了 fs那楼也是这个情况

那你说的情况相当于已经中毒 然后再分别把卡巴和BD都当成一个清除工具来用 那和标题已经没关系了

“rootkit扫描能力”即便在这个例子里BD和卡巴也是一样的 当然清除能力这个例子里是弱的

但愿以后您遇不到BD能清除卡巴不能的例子吧 我反正觉得是难说

您可能觉得我有点抠字眼 但是我也觉得您是故意在挑极端环境 挑一个“万一”才能把这番话继续说下去
我反正是不会在已经中毒的情况下去找BD做急救工具的 我相信大部分人都不会 就算EEK和MBAM都比BD更能把系统里的毒抠出来 还免费呢
win32病毒受害者
头像被屏蔽
发表于 2019-5-20 14:20:47 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
欧阳宣
头像被屏蔽
发表于 2019-5-20 14:36:03 | 显示全部楼层
win32病毒受害者 发表于 2019-5-20 14:20
楼上的废物气急败坏,估计是买了BD正版又不肯承认是买了一个性能很烂的软件,所以一看见别人指出BD的不好立 ...

讲道理急的是楼主啊。

@whl2606555 愿意秉公处理一下不?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 07:04 , Processed in 0.129546 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表