楼主: 记录微笑
收起左侧

[讨论] BD的RootKit检测功能是不是有点弱

[复制链接]
欧阳宣
头像被屏蔽
发表于 2019-5-21 12:26:15 | 显示全部楼层
whl2606555 发表于 2019-5-21 12:17
bd的atd防御纯属是因为病毒的其他恶意行为才拦截,根本不是因为加驱拦截,如果单纯只有加驱操作bd就凉了 ...

这整件事其实都用不到ATD 直接查杀就杀了啊大兄弟


完全是你自己关闭了能检测它的组件你才中毒的啊
记录微笑
 楼主| 发表于 2019-5-21 12:43:15 | 显示全部楼层
欧阳宣 发表于 2019-5-21 12:26
这整件事其实都用不到ATD 直接查杀就杀了啊大兄弟

bd要过检测很容易,加个vmp壳就可以了。
我的那个bdkiller也是,bd被我弄得完全启动不了,3天之后才拉黑。
不要光看这一件事。
欧阳宣
头像被屏蔽
发表于 2019-5-21 13:13:28 | 显示全部楼层
whl2606555 发表于 2019-5-21 12:43
bd要过检测很容易,加个vmp壳就可以了。
我的那个bdkiller也是,bd被我弄得完全启动不了,3天之后才拉黑 ...

这件事是你这个立论里面的大前提 这个大前提对这个事的性质影响挺大的

你不关监控和ATD 压根就没中毒这回事 这是你没法否认的

你总是强调“万一是先中毒再装BD呢” “万一是加了壳就过扫描呢”

你觉着这两个万一里面的先决条件哪个算得上大概率事件?应该和普通用户故意关掉监控和ATD的几率一样小吧?
记录微笑
 楼主| 发表于 2019-5-21 23:21:33 | 显示全部楼层
欧阳宣 发表于 2019-5-21 13:13
这件事是你这个立论里面的大前提 这个大前提对这个事的性质影响挺大的

你不关监控和ATD 压根就没中毒 ...

https://bbs.kafan.cn/thread-2145124-1-1.html
你自己去看看吧,没有关监控和atd,bd遇到加驱的照样挂。
欧阳宣
头像被屏蔽
发表于 2019-5-22 04:27:03 | 显示全部楼层
本帖最后由 欧阳宣 于 2019-5-22 04:29 编辑
whl2606555 发表于 2019-5-21 23:21
https://bbs.kafan.cn/thread-2145124-1-1.html
你自己去看看吧,没有关监控和atd,bd遇到加驱的照样挂 ...

我记得这个 你现在倒想起来了?
但是这是另一个例子了 另一个例子因为没有你关掉监控和ATD这个大前提 所以完全是两码事了


记录微笑
 楼主| 发表于 2019-5-22 12:16:26 | 显示全部楼层
欧阳宣 发表于 2019-5-22 04:27
我记得这个 你现在倒想起来了?
但是这是另一个例子了 另一个例子因为没有你关掉监控和ATD这个大前提 所 ...

两码事?
bd杀毒能力不是很强,加个壳就miss,atd不拦截加驱操作,所以新出来一个rootkitbd很容易miss,而bd如果在入库之后扫不出来的话就完蛋了。
欧阳宣
头像被屏蔽
发表于 2019-5-22 14:50:46 | 显示全部楼层
whl2606555 发表于 2019-5-22 12:16
两码事?
bd杀毒能力不是很强,加个壳就miss,atd不拦截加驱操作,所以新出来一个rootkitbd很容易miss, ...

还是就事论事
那个BDkiller监控全开还被过的话肯定是BD的锅 应该现在也入库了 过不了监控这关

但是这个例子不一样 一个是你自己关掉监控和ATD 一个是另外针对性的软件 连初始条件都不一样 显然是两码事

“bd如果在入库之后扫不出来的话就完蛋了”但是那是如果啊大哥 原帖那个例子里BD早已入库了 而且什么又叫“入库之后扫不出来”…… 原帖里入库不就扫出来了吗 如果不是因为你故意制造极端条件 入库的样本应该是不会扫不出来的 BD的监控没听说过非压缩包有什么漏毒

你一定从立场上特别看不起BD 觉得自己做了个驱动加了免杀轻松就过了BD BD挺菜的 但是情感上是一回事 没法改变我们现在所讨论的这个事的性质。

https://bbs.kafan.cn/thread-2131930-1-1.html

原帖里面入库了
入库也扫出来了
扫出来也杀了

本来事情到这里就结束了才对 但是后面的事情从我看来就是你拿着你自己关闭了监控和ATD再双击之后的结果说BD有问题。我觉得这种远离实际环境 远离日常使用习惯的测试方式首先参考意义非常小其次对你自己很危险。而这种危险BD不太能背锅。
你不停在说很多“如果”的情况。“如果是先中毒再装BD呢”“如果入库之后扫不出来就完蛋了”如果一件事你越是要推极端才能圆回来 那就算圆回来了 说服力和普适性也会变小的

你现在拿着这例子去找官方 官方肯定第一反应是问你明明入库的样本 怎么关闭监控测试了 到时候你可能有苦都说不出



您是督查 说句实话惹着你没有好果子吃 很多大实话我还是忍了吧
记录微笑
 楼主| 发表于 2019-5-22 18:14:53 | 显示全部楼层
欧阳宣 发表于 2019-5-22 14:50
还是就事论事
那个BDkiller监控全开还被过的话肯定是BD的锅 应该现在也入库了 过不了监控这关

我并没有看不起bd,不然不会去用它。
bdkiller现在也只是程序被简单拉黑,驱动没有拉黑,我想干掉bd照样可以用这个驱动。
如果一个rootkit,bd一开始没扫到,双击因为atd不拦截加驱操作而背过。后来bd入库了,但是驱动死活扫不出来,难道这不是bd的锅?
我通过这个事只是想说明bd在扫描rootkit方面有点弱,不知道你是怎么理解的。
而且这还不是很厉害的rootkit,遇到厉害的bd岂不是更无力回天?
欧阳宣
头像被屏蔽
发表于 2019-5-23 02:37:51 | 显示全部楼层
whl2606555 发表于 2019-5-22 18:14
我并没有看不起bd,不然不会去用它。
bdkiller现在也只是程序被简单拉黑,驱动没有拉黑,我想干掉bd照样 ...

又在“如果”了。“一开始没扫到,双击因为atd不拦截加驱操作而背过”这一整套不是因为你自己关闭了监控和ATD的话 还会有后面的事么?原帖里就算没入库ATD也拦截了啊 就算不是因为加驱而拦截 也拦住了啊

我说过啦 我的理解就是

一个已经入库的加驱小马 你拿着你自己关闭了监控和ATD再双击之后的结果说BD有问题

带毒清理BD确实是弱的 但是这个和你的标题不符 而且你反复拿一个已经入库的威胁说扫不出来是为啥
a8855942
发表于 2019-5-23 10:27:25 | 显示全部楼层
不太懂,我来看看就行了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 18:37 , Processed in 0.111212 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表