BD的RootKit检测功能是不是有点弱

显示全部楼层 · 发表于 2019-5-21 12:26:15

whl2606555 发表于 2019-5-21 12:17
bd的atd防御纯属是因为病毒的其他恶意行为才拦截，根本不是因为加驱拦截，如果单纯只有加驱操作bd就凉了 ...

这整件事其实都用不到ATD 直接查杀就杀了啊大兄弟

完全是你自己关闭了能检测它的组件你才中毒的啊

显示全部楼层 · 发表于 2019-5-21 12:43:15

欧阳宣发表于 2019-5-21 12:26
这整件事其实都用不到ATD 直接查杀就杀了啊大兄弟

bd要过检测很容易，加个vmp壳就可以了。
我的那个bdkiller也是，bd被我弄得完全启动不了，3天之后才拉黑。
不要光看这一件事。

显示全部楼层 · 发表于 2019-5-21 13:13:28

whl2606555 发表于 2019-5-21 12:43
bd要过检测很容易，加个vmp壳就可以了。
我的那个bdkiller也是，bd被我弄得完全启动不了，3天之后才拉黑 ...

这件事是你这个立论里面的大前提这个大前提对这个事的性质影响挺大的

你不关监控和ATD 压根就没中毒这回事这是你没法否认的

你总是强调“万一是先中毒再装BD呢” “万一是加了壳就过扫描呢”

你觉着这两个万一里面的先决条件哪个算得上大概率事件？应该和普通用户故意关掉监控和ATD的几率一样小吧？

显示全部楼层 · 发表于 2019-5-21 23:21:33

欧阳宣发表于 2019-5-21 13:13
这件事是你这个立论里面的大前提这个大前提对这个事的性质影响挺大的

你不关监控和ATD 压根就没中毒 ...

https://bbs.kafan.cn/thread-2145124-1-1.html
你自己去看看吧，没有关监控和atd，bd遇到加驱的照样挂。

显示全部楼层 · 发表于 2019-5-22 04:27:03

本帖最后由欧阳宣于 2019-5-22 04:29 编辑

whl2606555 发表于 2019-5-21 23:21
https://bbs.kafan.cn/thread-2145124-1-1.html
你自己去看看吧，没有关监控和atd，bd遇到加驱的照样挂 ...

我记得这个你现在倒想起来了？
但是这是另一个例子了另一个例子因为没有你关掉监控和ATD这个大前提所以完全是两码事了

显示全部楼层 · 发表于 2019-5-22 12:16:26

欧阳宣发表于 2019-5-22 04:27
我记得这个你现在倒想起来了？
但是这是另一个例子了另一个例子因为没有你关掉监控和ATD这个大前提所 ...

两码事？
bd杀毒能力不是很强，加个壳就miss，atd不拦截加驱操作，所以新出来一个rootkitbd很容易miss，而bd如果在入库之后扫不出来的话就完蛋了。

显示全部楼层 · 发表于 2019-5-22 14:50:46

whl2606555 发表于 2019-5-22 12:16
两码事？
bd杀毒能力不是很强，加个壳就miss，atd不拦截加驱操作，所以新出来一个rootkitbd很容易miss， ...

还是就事论事
那个BDkiller监控全开还被过的话肯定是BD的锅应该现在也入库了过不了监控这关

但是这个例子不一样一个是你自己关掉监控和ATD 一个是另外针对性的软件连初始条件都不一样显然是两码事

“bd如果在入库之后扫不出来的话就完蛋了”但是那是如果啊大哥原帖那个例子里BD早已入库了而且什么又叫“入库之后扫不出来”…… 原帖里入库不就扫出来了吗如果不是因为你故意制造极端条件入库的样本应该是不会扫不出来的 BD的监控没听说过非压缩包有什么漏毒

你一定从立场上特别看不起BD 觉得自己做了个驱动加了免杀轻松就过了BD BD挺菜的但是情感上是一回事没法改变我们现在所讨论的这个事的性质。

https://bbs.kafan.cn/thread-2131930-1-1.html

原帖里面入库了
入库也扫出来了
扫出来也杀了

本来事情到这里就结束了才对但是后面的事情从我看来就是你拿着你自己关闭了监控和ATD再双击之后的结果说BD有问题。我觉得这种远离实际环境远离日常使用习惯的测试方式首先参考意义非常小其次对你自己很危险。而这种危险BD不太能背锅。
你不停在说很多“如果”的情况。“如果是先中毒再装BD呢”“如果入库之后扫不出来就完蛋了”如果一件事你越是要推极端才能圆回来那就算圆回来了说服力和普适性也会变小的

你现在拿着这例子去找官方官方肯定第一反应是问你明明入库的样本怎么关闭监控测试了到时候你可能有苦都说不出

您是督查说句实话惹着你没有好果子吃很多大实话我还是忍了吧

显示全部楼层 · 发表于 2019-5-22 18:14:53

欧阳宣发表于 2019-5-22 14:50
还是就事论事
那个BDkiller监控全开还被过的话肯定是BD的锅应该现在也入库了过不了监控这关

我并没有看不起bd，不然不会去用它。
bdkiller现在也只是程序被简单拉黑，驱动没有拉黑，我想干掉bd照样可以用这个驱动。
如果一个rootkit，bd一开始没扫到，双击因为atd不拦截加驱操作而背过。后来bd入库了，但是驱动死活扫不出来，难道这不是bd的锅？
我通过这个事只是想说明bd在扫描rootkit方面有点弱，不知道你是怎么理解的。
而且这还不是很厉害的rootkit，遇到厉害的bd岂不是更无力回天？

显示全部楼层 · 发表于 2019-5-23 02:37:51

whl2606555 发表于 2019-5-22 18:14
我并没有看不起bd，不然不会去用它。
bdkiller现在也只是程序被简单拉黑，驱动没有拉黑，我想干掉bd照样 ...

又在“如果”了。“一开始没扫到，双击因为atd不拦截加驱操作而背过”这一整套不是因为你自己关闭了监控和ATD的话还会有后面的事么？原帖里就算没入库ATD也拦截了啊就算不是因为加驱而拦截也拦住了啊

我说过啦我的理解就是

一个已经入库的加驱小马你拿着你自己关闭了监控和ATD再双击之后的结果说BD有问题

带毒清理BD确实是弱的但是这个和你的标题不符而且你反复拿一个已经入库的威胁说扫不出来是为啥

显示全部楼层 · 发表于 2019-5-23 10:27:25

不太懂，我来看看就行了。

[讨论] BD的RootKit检测功能是不是有点弱