查看: 624|回复: 6
收起左侧

[智量] 衍生物清除不彻底

[复制链接]
swizzer
发表于 2020-7-23 10:36:52 | 显示全部楼层 |阅读模式


直接双击样本,该样本释放的rwyTRNcssd.exe,主防未予清除。
@智量官方


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
liu237
发表于 2020-7-23 10:57:13 | 显示全部楼层
前排支持
kinerarten
发表于 2020-7-23 12:30:41 | 显示全部楼层
目测有上升空间,加油吧智量
智量官方
发表于 2020-7-23 14:18:44 | 显示全部楼层
这个衍生物实际就是本体, 如果被本体启动,那么高级防护是会清除它的.

在其它情况下, 清除衍生物是需要基础实时监控开启的,基础实时监控负责监控文件系统并提供部分数据给高级防护,关闭了基础实时监控是会影响防护的
swizzer
 楼主| 发表于 2020-7-23 15:49:31 | 显示全部楼层
本帖最后由 swizzer 于 2020-7-23 15:51 编辑
智量官方 发表于 2020-7-23 14:18
这个衍生物实际就是本体, 如果被本体启动,那么高级防护是会清除它的.

在其它情况下, 清除衍生物是需要 ...

这个现象久已有之。
在入库前直接双击,它会复制自身到appdata\Roaming下,同时释放一个tmp文件、启动sctasks。智量主防会把本体和tmp文件杀掉(MalPersistence.M0),但另一个、自身被复制过去的那个文件不会被清除。

这也是上次我提到的电脑中出现20+个衍生物,未被智量主防清除的原因。
智量官方
发表于 2020-7-23 16:48:03 | 显示全部楼层
swizzer 发表于 2020-7-23 15:49
这个现象久已有之。
在入库前直接双击,它会复制自身到appdata\Roaming下,同时释放一个tmp文件、启动sc ...

确实有你说的问题, 但是那些衍生物实际是尸体, 不会再有危害。我们后面考虑引入轻度回滚功能删除这些尸体文件
上官婉儿丿
头像被屏蔽
发表于 2020-7-23 17:05:14 | 显示全部楼层
智量官方 发表于 2020-7-23 16:48
确实有你说的问题, 但是那些衍生物实际是尸体, 不会再有危害。我们后面考虑引入轻度回滚功能删除这些尸体 ...

智量的哥们,你们公司就你一个人么?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 06:11 , Processed in 0.136886 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表