检测到systemmemory MEM:Trojan.Win32.SEPEH.gen但是全盘查杀又没有问题？

显示全部楼层 · 发表于 2022-8-30 13:25:54

这个问题我的推测是这样的

用process hacker 查看火绒进程可以看到内存里有很多病毒的特征字符串，因为火绒是目前为数不多没有实现PPL(Protected Processes Light) 机制的杀软，导致加个驱有个权限能够随意读取火绒的进程内存，卡巴可能就是因为内存扫描匹配到的字符串然后报毒了。

显示全部楼层 · 发表于 2022-8-30 14:36:18

Jerry.Lin 发表于 2022-8-30 13:25
这个问题我的推测是这样的

用process hacker 查看火绒进程可以看到内存里有很多病毒的特征字符串，因为 ...

火绒还需要在加强一下自身啊

显示全部楼层 · 发表于 2022-8-30 14:44:39

kim545 发表于 2022-8-30 12:27
离谱的是火绒官方向卡巴反应这问题，卡巴官方也不知道为什么，然后就不了了之了

你说卡巴官方会正式回应它吗？

显示全部楼层 · 发表于 2022-8-30 19:01:07

玻璃钢耗子发表于 2022-8-30 14:44
你说卡巴官方会正式回应它吗？

这好像真的是老问题了，迟迟不见解决。

火绒我记得在卡饭也有官方账号，
也许能请 @火绒工程师说明 ?

看看卡巴有无给回应，或者这问题除了卸载火绒之外有无其他办法。

显示全部楼层 · 发表于 2022-8-31 09:53:04

本帖最后由火绒工程师于 2022-8-31 10:59 编辑

KevinYu0504 发表于 2022-8-30 19:01
这好像真的是老问题了，迟迟不见解决。

火绒我记得在卡饭也有官方账号，

您好，我们会持续关注此问题，感谢您的反馈~

显示全部楼层 · 发表于 2022-9-1 02:02:24

Jerry.Lin 发表于 2022-8-30 13:25
这个问题我的推测是这样的

用process hacker 查看火绒进程可以看到内存里有很多病毒的特征字符串，因为 ...

似乎加驱后有PPL的进程也能被读取吧，像MsMpEng.exe的进程

显示全部楼层 · 发表于 2022-9-1 07:18:53

本帖最后由 Jerry.Lin 于 2022-8-31 17:22 编辑

ANY.LNK 发表于 2022-8-31 12:02
似乎加驱后有PPL的进程也能被读取吧，像MsMpEng.exe的进程

说错了，应该是没加驱也能dump

，你可以试试用procdump，轻轻松松dump下来，至于被PPL保护的是没法dump。
至于卡巴，可能是有个whitelist 之类的，里面没有火绒，或者不扫描被PPL保护的进程

之前做了个小实验和这个相关：https://bbs.kafan.cn/thread-2220143-1-1.html

显示全部楼层 · 发表于 2022-9-1 14:20:51

输入法也会出现这吗

显示全部楼层 · 发表于 2022-9-3 08:21:57

Jerry.Lin 发表于 2022-9-1 07:18
说错了，应该是没加驱也能dump，你可以试试用procdump，轻轻松松dump下来，至于被PPL保护的是没法d ...

不过processhacker无法直接（在加驱状态下）dump 被PPL保护程序

显示全部楼层 · 发表于 2022-9-4 21:41:17

Jerry.Lin 发表于 2022-9-1 07:18
说错了，应该是没加驱也能dump，你可以试试用procdump，轻轻松松dump下来，至于被PPL保护的是没法d ...

单步的可能是卡巴第一代主防的遗产吧那个时候还没有系统监控呢
反而是hips在第一代主防之后才出的

[问题求助] 检测到systemmemory MEM:Trojan.Win32.SEPEH.gen但是全盘查杀又没有问题？

评分

评分

评分

评分