收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 卡巴斯基 21版网页反病毒模块问题
12
返回列表 发新帖
楼主: 夜的浣熊
 收起左侧

[交流探讨] 21版网页反病毒模块问题

[复制链接]
夜的浣熊
 楼主| 发表于 2021-1-19 10:52:52 | 显示全部楼层
Wesly.Zhang 发表于 2021-1-19 09:39
Hello,

你肯定有过滤驱动不是 tdi 就是 ndis filter 的 driver 存在才会导致 webav 不拦截的问题。你 ...

就出了这些
  1. C:\Users\MSI>sc query type= driver group= ndis

  3. SERVICE_NAME: e1dexpress
  4. DISPLAY_NAME: Intel(R) PRO/1000 PCI Express Network Connection Driver D
  5.         TYPE               : 1  KERNEL_DRIVER
  6.         STATE              : 4  RUNNING
  7.                                 (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
  8.         WIN32_EXIT_CODE    : 0  (0x0)
  9.         SERVICE_EXIT_CODE  : 0  (0x0)
  10.         CHECKPOINT         : 0x0
  11.         WAIT_HINT          : 0x0

  13. SERVICE_NAME: kdnic
  14. DISPLAY_NAME: Microsoft 内核调试网络微型端口(NDIS 6.20)
  15.         TYPE               : 1  KERNEL_DRIVER
  16.         STATE              : 4  RUNNING
  17.                                 (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
  18.         WIN32_EXIT_CODE    : 0  (0x0)
  19.         SERVICE_EXIT_CODE  : 0  (0x0)
  20.         CHECKPOINT         : 0x0
  21.         WAIT_HINT          : 0x0

  23. SERVICE_NAME: klim6
  24. DISPLAY_NAME: Kaspersky Anti-Virus NDIS 6 Filter
  25.         TYPE               : 1  KERNEL_DRIVER
  26.         STATE              : 4  RUNNING
  27.                                 (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
  28.         WIN32_EXIT_CODE    : 0  (0x0)
  29.         SERVICE_EXIT_CODE  : 0  (0x0)
  30.         CHECKPOINT         : 0x0
  31.         WAIT_HINT          : 0x0

  33. SERVICE_NAME: klwtp
  34. DISPLAY_NAME: KLwtp - WFP callout traffic inspector
  35.         TYPE               : 1  KERNEL_DRIVER
  36.         STATE              : 4  RUNNING
  37.                                 (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
  38.         WIN32_EXIT_CODE    : 0  (0x0)
  39.         SERVICE_EXIT_CODE  : 0  (0x0)
  40.         CHECKPOINT         : 0x0
  41.         WAIT_HINT          : 0x0

  43. SERVICE_NAME: lltdio
  44. DISPLAY_NAME: 链路层拓扑发现映射器 I/O 驱动程序
  45.         TYPE               : 1  KERNEL_DRIVER
  46.         STATE              : 4  RUNNING
  47.                                 (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
  48.         WIN32_EXIT_CODE    : 0  (0x0)
  49.         SERVICE_EXIT_CODE  : 0  (0x0)
  50.         CHECKPOINT         : 0x0
  51.         WAIT_HINT          : 0x0

  53. SERVICE_NAME: MsLldp
  54. DISPLAY_NAME: Microsoft 链路层发现协议
  55.         TYPE               : 1  KERNEL_DRIVER
  56.         STATE              : 4  RUNNING
  57.                                 (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
  58.         WIN32_EXIT_CODE    : 0  (0x0)
  59.         SERVICE_EXIT_CODE  : 0  (0x0)
  60.         CHECKPOINT         : 0x0
  61.         WAIT_HINT          : 0x0

  63. SERVICE_NAME: NdisTapi
  64. DISPLAY_NAME: 远程访问 NDIS TAPI 驱动程序
  65.         TYPE               : 1  KERNEL_DRIVER
  66.         STATE              : 4  RUNNING
  67.                                 (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
  68.         WIN32_EXIT_CODE    : 0  (0x0)
  69.         SERVICE_EXIT_CODE  : 0  (0x0)
  70.         CHECKPOINT         : 0x0
  71.         WAIT_HINT          : 0x0

  73. SERVICE_NAME: Psched
  74. DISPLAY_NAME: QoS 数据包计划程序
  75.         TYPE               : 1  KERNEL_DRIVER
  76.         STATE              : 4  RUNNING
  77.                                 (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
  78.         WIN32_EXIT_CODE    : 0  (0x0)
  79.         SERVICE_EXIT_CODE  : 0  (0x0)
  80.         CHECKPOINT         : 0x0
  81.         WAIT_HINT          : 0x0

  83. SERVICE_NAME: rspndr
  84. DISPLAY_NAME: 链路层拓扑发现响应程序
  85.         TYPE               : 1  KERNEL_DRIVER
  86.         STATE              : 4  RUNNING
  87.                                 (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
  88.         WIN32_EXIT_CODE    : 0  (0x0)
  89.         SERVICE_EXIT_CODE  : 0  (0x0)
  90.         CHECKPOINT         : 0x0
  91.         WAIT_HINT          : 0x0

  93. SERVICE_NAME: vwififlt
  94. DISPLAY_NAME: Virtual WiFi Filter Driver
  95.         TYPE               : 1  KERNEL_DRIVER
  96.         STATE              : 4  RUNNING
  97.                                 (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
  98.         WIN32_EXIT_CODE    : 0  (0x0)
  99.         SERVICE_EXIT_CODE  : 0  (0x0)
  100.         CHECKPOINT         : 0x0
  101.         WAIT_HINT          : 0x0

  103. SERVICE_NAME: wanarp
  104. DISPLAY_NAME: 远程访问 IP ARP 驱动程序
  105.         TYPE               : 1  KERNEL_DRIVER
  106.         STATE              : 4  RUNNING
  107.                                 (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
  108.         WIN32_EXIT_CODE    : 0  (0x0)
  109.         SERVICE_EXIT_CODE  : 0  (0x0)
  110.         CHECKPOINT         : 0x0
  111.         WAIT_HINT          : 0x0
复制代码


回复

举报

Wesly.Zhang
发表于 2021-1-19 11:37:51 | 显示全部楼层
夜的浣熊 发表于 2021-1-19 10:52
就出了这些

Hello,

应该没有问题。你访问 https://secure.eicar.org/eicar.com 看看。 另外,在 cmd 命令提示符下执行如下命令看看 avp 有何反应
正常反应:系统监控 报 PDM:Trojan.Win32.Generic。
  1. certutil -urlcache -split -f https://secure.eicar.org/eicar.com %~dp0\eicar.com
复制代码


然后使用 wget https://secure.eicar.org/eicar.com 并回车看看 avp 有何反应。
回复

举报

夜的浣熊
 楼主| 发表于 2021-1-19 14:42:26 | 显示全部楼层
Wesly.Zhang 发表于 2021-1-19 11:37
Hello,

应该没有问题。你访问 https://secure.eicar.org/eicar.com 看看。 另外,在 cmd 命令提示符 ...

访问https://secure.eicar.org/eicar.com 后直接下载了了一个文件,大概10多秒后报检测到恶意对象。执行代码后系统监控也报了PDM:Exploit.Win32.Generic
  1. 事件 :        检测到恶意对象
  2. 用户 :        DESKTOP-8BBI53L\MSI
  3. 用户类型 :        活动用户
  4. 应用程序名称 :        360chrome.exe
  5. 应用程序路径 :        H:\Local\360Chrome\Chrome\Application
  6. 组件 :        文件反病毒
  7. 结果说明 :        检测到
  8. 类型 :        病毒
  9. 名称 :        EICAR-Test-File
  10. 精确度 :        确切
  11. 威胁级别 :        高
  12. 对象类型 :        文件
  13. 对象名称 :        eicar.com
  14. 对象路径 :        D:\下载专用
  15. MD5 :        44D88612FEA8A8F36DE82E1278ABB02F
  16. 原因 :        专家分析
  17. 数据库发布日期 :        今天,2021/1/19 11:02:00
复制代码
IMG_20201106_140537.jpg

30.jpg
回复

举报

Wesly.Zhang
发表于 2021-1-19 20:59:26 | 显示全部楼层
夜的浣熊 发表于 2021-1-19 14:42
访问https://secure.eicar.org/eicar.com 后直接下载了了一个文件,大概10多秒后报检测到恶意对象。执行 ...

Hello,

请使用 原版 chrome 或者 firefox 或者 chrome版本的Edge 测试网页反病毒组件。
回复

举报

夜的浣熊
 楼主| 发表于 2021-1-19 21:11:24 | 显示全部楼层
Wesly.Zhang 发表于 2021-1-19 20:59
Hello,

请使用 原版 chrome 或者 firefox 或者 chrome版本的Edge 测试网页反病毒组件。

用数字的急速浏览器不行?以前我记得是可以的。现在是86内核的急速。
回复

举报

Wesly.Zhang
发表于 2021-1-19 22:32:56 | 显示全部楼层
本帖最后由 Wesly.Zhang 于 2021-1-19 22:34 编辑
夜的浣熊 发表于 2021-1-19 21:11
用数字的急速浏览器不行?以前我记得是可以的。现在是86内核的急速。

Hello,

我们来看下 网页反病毒 有没有进行 网络流量过滤。首先配置 网页反病毒 记录过滤日志。

2021-01-19_222414.png

配置保存后,访问 eicar 网站访问 eicar.com 文件。正常情况下,在 网页反病毒 组件的 日志 中会查询到 拦截记录,如下图所示:

2021-01-19_222806.png

如果 网页反病毒 组件的日志中无任何过滤日志存在或者生成,说明有程序在阻止卡巴斯基访问浏览器缓冲区。请使用 原版 谷歌浏览器,火狐 或者 chrome版本的 Edge 测试浏览器缓冲区是否可以访问。
我这里不存在问题。
回复

举报

夜的浣熊
 楼主| 发表于 2021-1-19 22:37:04 | 显示全部楼层
Wesly.Zhang 发表于 2021-1-19 22:32
Hello,

我们来看下 网页反病毒 有没有进行 网络流量过滤。首先配置 网页反病毒 记录过滤日志。

刚刚我试了,用Edge确实可以正常拦截,但是用数字急速浏览器无法正常拦截。不知道数字急速更新了啥导致的
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-1 03:27 , Processed in 0.107508 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表