BD的RootKit检测功能是不是有点弱

记录微笑

欧阳宣 发表于 2019-5-24 01:02
是的 他是在用一个已经入库的东西去测它在没入库的时候的表现 我觉得有点奇怪

而且没入库 直接双击的 ...

atd拦截纯粹是因为其他恶意行为，如果只是加载恶意驱动，atd是不会拦的。

欧阳宣

whl2606555 发表于 2019-5-25 07:53
atd拦截纯粹是因为其他恶意行为，如果只是加载恶意驱动，atd是不会拦的。

是的 我知道 但是对结果没影响 能拦就够了 对于用户来说 防住了大于一切

都已经拦截了 你还要挑毛病 非要因为加驱才拦截而不是因为疑似勒索行为。

我真不知道你的这种论调自己没有反思过吗???

那世间所有的紧急拉黑类检测都有错了 它们中间绝大多数是在样本的具体恶意行为还不明确 当前已有特征无法分辨的情况下才用比如MD5强行检测的 等到恶意行为完全被分析 再去写启发特征 再推送？黄花菜都凉了

欧阳宣

a27573 发表于 2019-5-24 19:24
清不掉不可怕，PE or 重装，总有解决办法
查不出才可怕
如果用户不知道自己中毒（Rootkit善于隐藏自己 ...

？哪里查不出了 明明都入库了啊

记录微笑

欧阳宣 发表于 2019-5-25 09:55
是的 我知道 但是对结果没影响 能拦就够了 对于用户来说 防住了大于一切

都已经拦截了 你还要挑毛病  ...

如果直接加载恶意驱动，bd就完蛋了。
不要总是揪住这一件事不放。

欧阳宣

whl2606555 发表于 2019-5-25 11:24
如果直接加载恶意驱动，bd就完蛋了。
不要总是揪住这一件事不放。

这是根本没如果 因为首先入库了其次没入库ATD也拦截了

有如果也是你自己把监控和ATD这两个本来能检测的组件都关掉了之后制造的条件

我没法不站稳这个立足点 这是这件事的大前提

jiaobaoyun51

这帖子那么久了还没理清啊？ 小白认为 这里 是入库杀还是ATD杀是关键点~ 如果用户中招 安装BD     你入库了也扫不到就那啥了   

a27573

欧阳宣 发表于 2019-5-25 09:58
？哪里查不出了 明明都入库了啊

在

1.出现了一个新的Rootkit，BD还没有入库
2.用户感染了这个Rootkit，此时BD正常运行，但由于没有入库并且不拦截加驱，Rootkit成功加驱
3.BD入库此Rootkit，但由于Rootkit已成功加驱，隐藏了自身，所以BD没有发现此Rootkit
4.Rootkit在用户计算机上成功持久化，执行恶意行为

的情况下

遇到新病毒，用户可能在杀软入库前被感染（特别是一些针对性威胁）

Rootkit善于隐藏自身，系统一般不会出现明显异常，用户一般不会想到使用救援模式，用BD正常扫描不会发现病毒

反过来说，一般扫描没有发现异常，用户也不会使用救援模式

并不是一直开着防御就不会出现需要带毒清除的情况

只能说BD带毒清除能力还有缺陷

欧阳宣

a27573 发表于 2019-5-25 13:18
在

的情况下

一直开着防御那直接入库 都没有后面这回事了

没有入库也有ATD

这个例子里得是把监控和ATD都关了 才会出现被加驱了还不知道的情况 跟日常使用已经完全偏离了

a27573

欧阳宣 发表于 2019-5-25 15:01
一直开着防御那直接入库 都没有后面这回事了

没有入库也有ATD

我的意思是我假设的那种情况

就是万一ATD和监控开着也没拦住，后面入库了也没用

用户也不知道自己中毒，也不会想到用救援模式

这个实验只是一个引子，也可以模拟中毒后再安装BD的情况

欧阳宣

a27573 发表于 2019-5-25 15:16
我的意思是我假设的那种情况

就是万一ATD和监控开着也没拦住，后面入库了也没用

那我觉得这就是欲加之罪何患无辞了 光说如果的话 很多杀软都可以被说得一无是处

所以立足点只应该是已经发生的事和已经存在的事实