BD的RootKit检测功能是不是有点弱

zhousulin5

whl2606555 发表于 2019-5-22 18:14
我并没有看不起bd，不然不会去用它。
bdkiller现在也只是程序被简单拉黑，驱动没有拉黑，我想干掉bd照样 ...

驱动文件是否入了库，你得在病毒未加驱之前扫描才能明确。我前面说过了，“找不到文件”是因为这个文件被它自己隐藏了。BD在这时候需要做的是想法子绕开病毒驱动做的手脚去发现被它隐藏的文件，但你不能因为现在BD找不到文件而下结论说这个文件没有被BD入库。也许BD确实没有入库这个驱动文件，但你得用BD在不受干扰的情况下扫了这个文件才能下结论是与不是。
这个找不到文件的结果是因为病毒的驱动起作用了，而病毒的驱动能起作用是因为你关闭BD的监控运行了病毒。因此欧阳宣才能跟你辩这么久。
驱动对抗不是一件简单的事情，这种对抗对杀毒软件来说不公平，因为病毒无所顾忌，而杀软投鼠忌器。

记录微笑

zhousulin5 发表于 2019-5-23 11:19
驱动文件是否入了库，你得在病毒未加驱之前扫描才能明确。我前面说过了，“找不到文件”是因为这个文件被 ...

你先去看看我前面说的再回复，你完全没搞清楚状况。

记录微笑

欧阳宣 发表于 2019-5-23 02:37
又在“如果”了。“一开始没扫到，双击因为atd不拦截加驱操作而背过”这一整套不是因为你自己关闭了监控 ...

你开心就好。

欧阳宣

whl2606555 发表于 2019-5-23 12:10
你开心就好。

我没觉得开心 你这表现我蛮失望的

静影沉璧

救援模式下能成功清除掉。正常情况下确实扫都扫不出来，或是清除失败。。。

a27573

欧阳宣 发表于 2019-5-23 12:13
我没觉得开心 你这表现我蛮失望的

emm
我觉得whl2606555的意思是

按顺序
1.出现了一个新的Rootkit，BD还没有入库
2.用户感染了这个Rootkit，此时BD正常运行，但由于没有入库并且不拦截加驱，Rootkit成功加驱
3.BD入库此Rootkit，但由于Rootkit已成功加驱，隐藏了自身，所以BD没有发现此Rootkit
4.Rootkit在用户计算机上成功持久化，执行恶意行为

我认为whl2606555关闭防护是在模拟BD未入库时感染的情况，测试入库后BD能否清除已感染的Rootkit

lii

a27573 发表于 2019-5-23 19:45
emm
我觉得whl2606555的意思是

有道理

lii

a27573 发表于 2019-5-23 19:45
emm
我觉得whl2606555的意思是

十分有道理

欧阳宣

a27573 发表于 2019-5-23 19:45
emm
我觉得whl2606555的意思是

是的 他是在用一个已经入库的东西去测它在没入库的时候的表现 我觉得有点奇怪

而且没入库 直接双击的话 ATD也能拦截 正常使用情况下 没有入库也不会翻车的

唯一一个情况就是他自己制造的 先不装bd 再去双击 再装上bd看是否清的掉 我以为这是唯一能怪到bd头上的情况了

但是从刚刚其他人测试的结果来看 上救援模式也可以清理了

a27573

欧阳宣 发表于 2019-5-24 01:02
是的 他是在用一个已经入库的东西去测它在没入库的时候的表现 我觉得有点奇怪

而且没入库 直接双击的 ...

清不掉不可怕，PE or 重装，总有解决办法
查不出才可怕
如果用户不知道自己中毒（Rootkit善于隐藏自己），也不会想到用救援模式

所以确实是有缺陷，不过问题不大，只要定期使用救援模式查杀就就行了，只是麻烦一些