楼主: 记录微笑
收起左侧

[讨论] BD的RootKit检测功能是不是有点弱

[复制链接]
Desmond96
发表于 2019-5-21 03:43:56 | 显示全部楼层
当然我也希望的是大家饭友测试防护时候,就好像类似这次这样,测试完过后希望能和该厂商反馈,否则测试再多也是多余.让BD知道这个问题,或许也有可能是个bug
Desmond96
发表于 2019-5-21 03:46:04 | 显示全部楼层
munsimli 发表于 2019-5-21 03:31
小白同意宣大觀點,都關防護放行了不就是手動染毒再來清掉這個病毒,
比的是清除能力合情合理,以BD的ATD ...

其实防御能力和清除能力一样重要.有些人可能用了其他厂商软件中毒了,想换个其他厂商来清除病毒,那这时候就要看该杀毒软件清除能力了.一些人不爱装杀毒.中了毒才安装杀毒.
munsimli
发表于 2019-5-21 03:52:15 | 显示全部楼层
Desmond96 发表于 2019-5-21 03:43
当然我也希望的是大家饭友测试防护时候,就好像类似这次这样,测试完过后希望能和该厂商反馈,否则测试再多也 ...

對殺軟的運作沒有很深層的認識,但如果淺白一點來說BD官方一測之下,
發現只要用戶沒有自行關閉防護,這個樣本一定可以攔截,是不是根本不會
想去背這個鍋呢?
Desmond96
发表于 2019-5-21 04:48:54 | 显示全部楼层
munsimli 发表于 2019-5-21 03:52
對殺軟的運作沒有很深層的認識,但如果淺白一點來說BD官方一測之下,
發現只要用戶沒有自行關閉防護,這 ...

那不一定,要知道有些人中了毒才来安装杀毒.虽然现在本身windows 10 有了windows defender,但windows 7防护不太理想,依然需要依靠第三方.
本人以前也是金山体验联盟成员,金山开始抛弃毒霸后开始转去AVG和Bitdefender,Bitdefender用了最久,以前超爱测试它,也上报了不少病毒样本,前几年好多白加黑样本上报了BD回应说无毒,同个样本上报了很多次后面也要求换工程师来分析,我也写份了病毒运作原理给他们看,后面就入库了.
之前写程序的,AVC/ATC那年代误报了,也是反馈给他们,要让他们知道问题的重要性,BD虽然还是很多小bug的,修复还是需要时间.但至少bitdefender在版本更新不像一些厂商挤牙膏,至少不断努力的提升性能和安全性
munsimli
发表于 2019-5-21 04:54:53 | 显示全部楼层
Desmond96 发表于 2019-5-21 04:48
那不一定,要知道有些人中了毒才来安装杀毒.虽然现在本身windows 10 有了windows defender,但windows 7防 ...

多謝提供觀點,確實如果沒有清除能力強大的殺軟,大部分的使用者
最後還是走向重灌電腦一途,謝謝指教~
kim545
发表于 2019-5-21 08:39:45 | 显示全部楼层
我怎么感觉你测的不全是查杀能力,还有清除能力,这带毒杀毒有时候是说不准的
zhousulin5
发表于 2019-5-21 10:17:18 | 显示全部楼层
本帖最后由 zhousulin5 于 2019-5-21 10:48 编辑
(不得不说这个操作真的是令人窒息,都列出来文件名了还提示找不到该文件)

这就是挂钩对抗的例子,“列出文件名”是从注册表得到了被注册为服务的文件名,“找不到该文件”是因为病毒挂了文件相关API的钩子,所有进程对这个文件的查询操作都被做了手脚。要是病毒连注册表操作都做手脚的话,杀软就连文件名都不会列出来,是不是用户就可以接受了。
而且楼主是用卡巴的专杀来比较,这确实对BD不公平。不知道BD有没有专杀,有的话应该也是不用两分钟就能解决。

当然,还是希望BD能增强染毒后的检出能力。毕竟像楼主这样的测试在实际应用中还是有可能发生的。
记录微笑
 楼主| 发表于 2019-5-21 12:13:14 | 显示全部楼层
zhousulin5 发表于 2019-5-21 10:17
这就是挂钩对抗的例子,“列出文件名”是从注册表得到了被注册为服务的文件名,“找不到该文件”是因为病 ...

卡巴2018实际测试也可以在加载后成功删除。用卡巴的工具是因为不想重新换成卡巴。
记录微笑
 楼主| 发表于 2019-5-21 12:15:35 | 显示全部楼层
kim545 发表于 2019-5-21 08:39
我怎么感觉你测的不全是查杀能力,还有清除能力,这带毒杀毒有时候是说不准的

avc测试可是说bd带毒清除能力数一数二,和卡巴并肩。
而且这个驱动不针对bd,不会影响杀软正常工作。
记录微笑
 楼主| 发表于 2019-5-21 12:17:19 | 显示全部楼层
欧阳宣 发表于 2019-5-21 01:57
装着BD再双击这个毒保准没事 只是楼主非要强调万一是先中毒再装BD的情况

bd的atd防御纯属是因为病毒的其他恶意行为才拦截,根本不是因为加驱拦截,如果单纯只有加驱操作bd就凉了。
我写过一个BDKiller,很好的说明了这个问题。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 11:36 , Processed in 0.098327 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表