查看: 2619|回复: 11
收起左侧

[讨论] 各家杀软对合法远控类的PUP的放行情况是怎样的

[复制链接]
huangzihang
发表于 2022-7-28 22:47:26 | 显示全部楼层 |阅读模式
本帖最后由 huangzihang 于 2022-7-28 23:07 编辑

以卡巴为例:卡巴的PUP检测有两档——可能造成损害的合法程序&广告软件,风险工具,可疑打包程序。
而ESET,BD都只有一个选项就是PUP检测,铁壳甚至没有。
那么在开启了PUP检测的情况下,对PUP的严苛程度是怎么样的呢?
首先理论上最严的一档是Malwarebytes——Malwarebytes我测试过程中唯一放行的是teamviewer
而卡巴,我以20年网课时代臭名卓著的带监控的网课软件——无限宝/课后网为例,其带有"静默学习模式"(其实就是可以远程锁屏)卡巴会报not-a-virus.Win32.ScreenLock,黄标合法软件,可以对它的部分组件进行针对性清除,Teamviewer作为最干净的远程桌面(对照组)则照例放行。
BD则不报无限宝了,我拿灰鸽子(原木马,现合法备案的远程控制)安装,过程中杀衍生物,是启发报毒名Gen:Variant,teamviewer作为最干净的远程桌面(对照组)则照例放行。
可见松紧程度不同。
那么各家国外厂对灰色地带的,有合法数签,甚至可以做到国内大厂手动加白的后门(有些甚至无需安装,双击就运行甚至释放到关键目录添加启动项后自删,去掉了软件界面和托盘图标,但它们中有的甚至有备案有数签,有些企业用他们进行远程管理,因此国内厂商均加白),但是其行径与木马无异。比如灰鸽子,网络人,向日葵,极域电子教室,红蜘蛛等,国际厂商是否会放行他们,对于国外的监控软件又是否会放行呢?
这些厂家基本上在都是以“360等国内厂商加白”为宣传点,因此只讨论国外杀软。
卡巴应该是会报的,设置里专门有关于此类软件的检测。
那么论坛里其他的热门杀软,MD,BD,ESET,Norton,FS(Avira),Sophos(这个应该是会报的,误报大王,用机学引擎的一般此类都会报(同Malwarebytes),远控特征不要太明显),McAfee,Avast对这些产品的松紧程度是怎么样的,伪造数签能否骗过他们呢?
毕竟这或许也是黑灰产的一个点,而且我个人很介意这种软件,与合法木马无异。以20年对无限宝的声讨来看,大部分人都十分介意。

评分

参与人数 1人气 +1 收起 理由
Zy. + 1 精品文章

查看全部评分

00006666
发表于 2022-7-29 00:06:34 | 显示全部楼层
向日葵这种卡巴可能会加白,也算是比较流行的软件,用户量太多了(普通个人用户)
huangzihang
 楼主| 发表于 2022-7-29 00:13:54 | 显示全部楼层
00006666 发表于 2022-7-29 00:06
向日葵这种卡巴可能会加白,也算是比较流行的软件,用户量太多了(普通个人用户)

感觉卡巴分得还是比较细,CE内存修改器这种开源软件卡巴都是黄标;那个github自制远控控制端白的,一生成被控端就红了,teamviewer,向日葵或许用户量比较多,但是我觉得一个软件具备隐藏软件界面,隐藏托盘图标,无卸载信息等动作,也就具备了木马的特征,报黄标比较合适,如果安装都不需要手动确认,那应该直接红标,向日葵我印象中是有这些功能的,teamviewer没有只能一对一连接我还可以理解大家都不报
00006666
发表于 2022-7-29 00:18:26 | 显示全部楼层
huangzihang 发表于 2022-7-29 00:13
感觉卡巴分得还是比较细,CE内存修改器这种开源软件卡巴都是黄标;那个github自制远控控制端白的,一生成 ...

问题在于,比如你前面说的其他几个都是小众软件,本身也没多少人用,杀软可以做报毒处理,但是遇到向日葵这类高流行度且有大量用户的软件,杀软报毒之前要考虑到用户可能会在杀软和自己需要的软件里面二选一,与其让用户去二选一,对于安全厂商来说做出妥协其实更适合,而且卡巴斯基要考虑本土化,其他几个杀软通常不会考虑本土化这种问题。
00006666
发表于 2022-7-29 00:21:53 | 显示全部楼层
不过之前我没试过卡巴会不会报向日葵,你那里可以先测试一下
tzr0416
发表于 2022-7-29 03:45:26 | 显示全部楼层
00006666 发表于 2022-7-29 00:21
不过之前我没试过卡巴会不会报向日葵,你那里可以先测试一下

向日葵的话
KIS开了检测多重打包和可能被犯罪分子利用的软件 没报 看了一眼KSN是加了白的
00006666
发表于 2022-7-29 06:47:43 | 显示全部楼层
tzr0416 发表于 2022-7-29 03:45
向日葵的话
KIS开了检测多重打包和可能被犯罪分子利用的软件 没报 看了一眼KSN是加了白的

卡巴斯基要考虑本土化问题,对于一些本土用户会大量使用的软件,一般情况会加白,除非是有广告等原因可能会报adware
kuroandsan
发表于 2022-7-29 08:01:36 | 显示全部楼层
本帖最后由 kuroandsan 于 2022-7-29 08:11 编辑

我的猜测是根据用户数和数签来的

另外卡巴斯基貌似有个允许列表计划来着,不知道是不是这名字了




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
00006666
发表于 2022-7-29 08:26:19 | 显示全部楼层
kuroandsan 发表于 2022-7-29 08:01
我的猜测是根据用户数和数签来的

另外卡巴斯基貌似有个允许列表计划来着,不知道是不是这名字了

一般情况下,这种有大量用户或者是大厂出品的软件,都会被加白,大厂可能也会主动去联系安全厂商加白自己的软件

评分

参与人数 1人气 +1 收起 理由
kuroandsan + 1 感谢解答: )

查看全部评分

00006666
发表于 2022-7-29 08:29:46 | 显示全部楼层
huangzihang 发表于 2022-7-29 00:13
感觉卡巴分得还是比较细,CE内存修改器这种开源软件卡巴都是黄标;那个github自制远控控制端白的,一生成 ...

其实从某种意义上来说,一些带有远程控制功能的企业版杀毒软件也符合你说的这类软件,但是被其他杀软报毒的可能性非常低
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 21:59 , Processed in 0.136874 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表