楼主: 记录微笑
收起左侧

[讨论] BD的RootKit检测功能是不是有点弱

[复制链接]
记录微笑
 楼主| 发表于 2019-5-25 07:53:51 来自手机 | 显示全部楼层
欧阳宣 发表于 2019-5-24 01:02
是的 他是在用一个已经入库的东西去测它在没入库的时候的表现 我觉得有点奇怪

而且没入库 直接双击的 ...

atd拦截纯粹是因为其他恶意行为,如果只是加载恶意驱动,atd是不会拦的。
欧阳宣
头像被屏蔽
发表于 2019-5-25 09:55:06 | 显示全部楼层
本帖最后由 欧阳宣 于 2019-5-25 09:57 编辑
whl2606555 发表于 2019-5-25 07:53
atd拦截纯粹是因为其他恶意行为,如果只是加载恶意驱动,atd是不会拦的。

是的 我知道 但是对结果没影响 能拦就够了 对于用户来说 防住了大于一切

都已经拦截了 你还要挑毛病 非要因为加驱才拦截而不是因为疑似勒索行为。
我真不知道你的这种论调自己没有反思过吗???
那世间所有的紧急拉黑类检测都有错了 它们中间绝大多数是在样本的具体恶意行为还不明确 当前已有特征无法分辨的情况下才用比如MD5强行检测的 等到恶意行为完全被分析 再去写启发特征 再推送?黄花菜都凉了

欧阳宣
头像被屏蔽
发表于 2019-5-25 09:58:42 | 显示全部楼层
a27573 发表于 2019-5-24 19:24
清不掉不可怕,PE or 重装,总有解决办法
查不出才可怕
如果用户不知道自己中毒(Rootkit善于隐藏自己 ...

?哪里查不出了 明明都入库了啊
记录微笑
 楼主| 发表于 2019-5-25 11:24:14 | 显示全部楼层
欧阳宣 发表于 2019-5-25 09:55
是的 我知道 但是对结果没影响 能拦就够了 对于用户来说 防住了大于一切

都已经拦截了 你还要挑毛病  ...

如果直接加载恶意驱动,bd就完蛋了。
不要总是揪住这一件事不放。
欧阳宣
头像被屏蔽
发表于 2019-5-25 11:54:43 | 显示全部楼层
whl2606555 发表于 2019-5-25 11:24
如果直接加载恶意驱动,bd就完蛋了。
不要总是揪住这一件事不放。

这是根本没如果 因为首先入库了其次没入库ATD也拦截了

有如果也是你自己把监控和ATD这两个本来能检测的组件都关掉了之后制造的条件

我没法不站稳这个立足点 这是这件事的大前提
jiaobaoyun51
头像被屏蔽
发表于 2019-5-25 11:57:19 | 显示全部楼层
本帖最后由 jiaobaoyun51 于 2019-5-25 11:59 编辑

这帖子那么久了还没理清啊? 小白认为 这里 是入库杀还是ATD杀是关键点~ 如果用户中招 安装BD     你入库了也扫不到就那啥了   

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
a27573
发表于 2019-5-25 13:18:33 | 显示全部楼层
本帖最后由 a27573 于 2019-5-25 13:23 编辑
欧阳宣 发表于 2019-5-25 09:58
?哪里查不出了 明明都入库了啊


1.出现了一个新的Rootkit,BD还没有入库
2.用户感染了这个Rootkit,此时BD正常运行,但由于没有入库并且不拦截加驱,Rootkit成功加驱
3.BD入库此Rootkit,但由于Rootkit已成功加驱,隐藏了自身,所以BD没有发现此Rootkit
4.Rootkit在用户计算机上成功持久化,执行恶意行为

的情况下

遇到新病毒,用户可能在杀软入库前被感染(特别是一些针对性威胁)

Rootkit善于隐藏自身,系统一般不会出现明显异常,用户一般不会想到使用救援模式,用BD正常扫描不会发现病毒

反过来说,一般扫描没有发现异常,用户也不会使用救援模式

并不是一直开着防御就不会出现需要带毒清除的情况

只能说BD带毒清除能力还有缺陷








欧阳宣
头像被屏蔽
发表于 2019-5-25 15:01:15 | 显示全部楼层

一直开着防御那直接入库 都没有后面这回事了

没有入库也有ATD

这个例子里得是把监控和ATD都关了 才会出现被加驱了还不知道的情况 跟日常使用已经完全偏离了
a27573
发表于 2019-5-25 15:16:52 | 显示全部楼层
欧阳宣 发表于 2019-5-25 15:01
一直开着防御那直接入库 都没有后面这回事了

没有入库也有ATD

我的意思是我假设的那种情况

就是万一ATD和监控开着也没拦住,后面入库了也没用

用户也不知道自己中毒,也不会想到用救援模式

这个实验只是一个引子,也可以模拟中毒后再安装BD的情况











欧阳宣
头像被屏蔽
发表于 2019-5-25 15:36:36 | 显示全部楼层
a27573 发表于 2019-5-25 15:16
我的意思是我假设的那种情况

就是万一ATD和监控开着也没拦住,后面入库了也没用

那我觉得这就是欲加之罪何患无辞了 光说如果的话 很多杀软都可以被说得一无是处

所以立足点只应该是已经发生的事和已经存在的事实
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 11:35 , Processed in 0.088760 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表