楼主: 温馨小屋
收起左侧

[讨论] 卡巴斯基主防测试(断网锁库)

  [复制链接]
Domenic
发表于 2021-2-9 23:04:04 | 显示全部楼层
Tonycola 发表于 2021-2-9 22:23
缺点就是MBR的修改无法回滚(本人目前测)

引导被搞了,很难修复了吧。
话说什么病毒怎么强,能动MBR
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-9 23:09:01 | 显示全部楼层
Domenic 发表于 2021-2-9 23:04
引导被搞了,很难修复了吧。
话说什么病毒怎么强,能动MBR

MBR病毒有啥强的,很古老的攻击方式了,大多杀软都能拦截了。
欧阳宣
头像被屏蔽
发表于 2021-2-10 00:23:44 | 显示全部楼层
温馨小屋 发表于 2021-2-9 17:20
是的,但是本帖中没有。
2月8日发布,KSN无查询,VT无收录

那时你的特征库版本是几号的?总是8号的吧?你当真把库锁着来日常用卡巴?我说了如果是的话我就承认你的测试有意义 否则那确实就没有

我经常会下载破解软件,有些从论坛或者群里扒出来的文件很新,KSN无收录,VT也没有此文件,这时候KSN有个啥用

KSN没有用,应用程序控制呢?特征库呢?那些你在这个测试里故意使得失效的组件呢?
欧阳宣
头像被屏蔽
发表于 2021-2-10 00:39:20 | 显示全部楼层
本帖最后由 欧阳宣 于 2021-2-10 00:42 编辑
huang1111 发表于 2021-2-9 21:30
hello

我不是很清楚你所谓的卡巴主防依靠特征库的依据是出自何处我想请问一下何为“启发类特征库”?
...

咋啦 在没有云拉黑和行为检测之前,启发式特征库是一个应对未知威胁的传统方案,分静态动态两种,后者后来衍生出了主防 启发式特征库六个字不会对你来说还是个新鲜名词吧

主防做出的判断理应就是一个启发式判断

我太同意你的说法了 主防应该只基于行为 我理解可能为了性能考虑 卡巴会把特征库扫描放到执行后程序有些东西已经跑出来了再去扫 但是扫了就是扫了 PDM:Trojan.Win32.Bazon.a 这个报法和SW有关么 能不能像eset一样坦荡一点 就明说这是“高级内存扫描”?

那如果光看是不是双击后检测,把内存里跑出来的衍生物的扫描结果算到SW上 这合理么

楼主这里想只测SW 但是卡巴这个情况就是剥离不开 这是确实的情况 DG依靠的是行为+信誉,其他厂家也有主防层面拉黑的情况前面有提过 不是什么丢人的事

我觉得可能你对主防的了解只是对SW了解比较全面而已。
Tonycola
发表于 2021-2-10 09:07:36 | 显示全部楼层
Domenic 发表于 2021-2-9 23:04
引导被搞了,很难修复了吧。
话说什么病毒怎么强,能动MBR

经典一点的病毒就是memz
Tonycola
发表于 2021-2-10 09:08:13 | 显示全部楼层
温馨小屋 发表于 2021-2-9 23:09
MBR病毒有啥强的,很古老的攻击方式了,大多杀软都能拦截了。

拦截倒可以,改个文件杀软肯定警觉。我说的是回滚能力
huang1111
发表于 2021-2-10 14:13:53 | 显示全部楼层
欧阳宣 发表于 2021-2-10 00:39
咋啦 在没有云拉黑和行为检测之前,启发式特征库是一个应对未知威胁的传统方案,分静态动态两种,后者后 ...

hello,

你所谓的“启发式特征库”报法其实并不是Heur,而是VHO,在卡巴斯基应用程序中,Heur报法是根据其引擎而来,并没有所谓的特征库,在更新的时候会自动更新引擎规则,VHO报法是根据特征库而来,但是VHO的特征库被存储在云端,而且没有缓存,在断网环境下此部分是失效的,因此在断网环境下不存在你所谓的主防依据所谓的特征库,此时仅仅依靠引擎规则来判断。
此外,PDM:Trojan.Win32.Bazon.a也是代表SW的报法,Bazon只是族类,这是SW根据病毒行为自动分析认为其符合xx族的定义,这也是引擎规则而定,没有所谓的数据库比对,你看到的G开头的那个族,属于引擎无法判断其族类而显示的文本,不代表其不是通过SW拦截。
此外,不用质疑我,因为我比你知道的多的多。

评分

参与人数 3人气 +6 收起 理由
极简极纯 + 2 感谢解答: )
henry217 + 1 --------
温馨小屋 + 3 精品文章

查看全部评分

温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-10 14:23:07 | 显示全部楼层
Tonycola 发表于 2021-2-10 09:08
拦截倒可以,改个文件杀软肯定警觉。我说的是回滚能力

MBR未授权修改大概率会在修改之前被拦截,没被拦截的也就漏了,哪来的回滚?你有能过主防修改MBR然后修改完才杀的样本吗?给我们开开眼
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-10 14:39:43 | 显示全部楼层
本帖最后由 温馨小屋 于 2021-2-10 15:06 编辑
欧阳宣 发表于 2021-2-10 00:23
那时你的特征库版本是几号的?总是8号的吧?你当真把库锁着来日常用卡巴?我说了如果是的话我就承认你 ...
那时你的特征库版本是几号的?

我都是当天的库保持最新,卡巴一天也就更新两次,这种刚发行没几个小时的小众文件,说库有什么意义?库差一天会有差别吗?

我锁库是为了可以用已经入库的病毒测试,手里的样本不足,不是平常要在锁库的环境下用,您这又来断章取义了。非得日常使用环境的测试才有意义吗,那很多实验室里的实验也都是理想环境,他们有意义吗?这么抬杠真的没意思。控制变量实验你真的理解不了?

KSN没有用,应用程序控制呢?特征库呢?那些你在这个测试里故意使得失效的组件呢?

应用程序控制就是调用特征库和KSN扫描一下,都没问题就是低限制组了,KSN信任就是受信任组,平时这个组件基本没什么存在感,在自动操作的情况下低限制组和受信任组几乎没什么差别。卡巴的HEUR比较保守,这种新文件大概率都是miss,不像诺顿的AdvML那么猛,特征库对于这种小众新毒基本没啥办法的,只能等入库。其他组件还剩个啥,基本没了,库过了就剩主防了。


昨天发行的文件,今天才UDS入库,刚刚才提示我。虽然是个误杀,但是如果是真的毒的话,这接近24小时的入库周期很显然对于我是不够的。





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
henry217 + 1 精品文章
zghnsy127 + 1 都是大佬啊你们!别气啊 愉快的讨论就好!

查看全部评分

温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-10 15:04:39 | 显示全部楼层
欧阳宣 发表于 2021-2-10 00:39
咋啦 在没有云拉黑和行为检测之前,启发式特征库是一个应对未知威胁的传统方案,分静态动态两种,后者后 ...
那如果光看是不是双击后检测,把内存里跑出来的衍生物的扫描结果算到SW上 这合理么
卡巴有MEM:报法,这个应该才是和ESET高级内存扫描对应的,我记得这个也是算到系统监控的日志里的,内存里跑出来的衍生物都会报MEM开头的病毒名,不会报PDM:Trojan.Win32.Bazon.a,一般出现PDM:Trojan.Win32.Bazon.a就说明这个文件(不是衍生物)被特征库/KSN检测到了,这名字已经分的够清楚得了吧,诺顿也经常出现云延迟导致病毒运行起来之后入库杀的操作,顺便SONAR也会同时报毒清理衍生物,名字和平时SONAR拦截的没有区别,可是同样是此样本修改MD5过云库之后双击SONAR就miss了,论组件协作诺顿碾压卡巴。
我理解可能为了性能考虑 卡巴会把特征库扫描放到执行后程序有些东西已经跑出来了再去扫 但是扫了就是扫了 PDM:Trojan.Win32.Bazon.a 这个报法和SW有关么
卡巴确实为了性能把某些检测靠后了,不过最后也就到应用程序控制,比如脚本检测,文件反病毒不会有反应,双击会被应用程序控制阻止启动,报的是特征库的名字。正常情况下不会看到PDM:Trojan.Win32.Bazon.a的,就算是已经跑起来的病毒突然被拉黑了,也都是文件反病毒和SW的MEM杀。我点了两年多病毒,经常miss的毒留在虚拟机里,第二天开机就会杀一堆,可是从来没有见过PDM:Trojan.Win32.Bazon.a报法,想要见到这个报法只能把所有组件都关掉只剩SW才能看到。

另PDM:Trojan.Win32.Bazon.a并不是有些东西已经跑出了再扫的,这个报法会秒杀,病毒程序根本不会被启动起来,不要混淆概念。

楼主这里想只测SW 但是卡巴这个情况就是剥离不开
你执意这么认为我也没办法,叫不醒装睡的人啊,逻辑漏洞百出还要继续硬撑。


评分

参与人数 1人气 +1 收起 理由
henry217 + 1 版区有你更精彩: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 14:50 , Processed in 0.099017 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表