脚本病毒，360漏报

keen-qv

DisaPDB 发表于 2024-3-21 07:17
？……

昨天的日志

DisaPDB

keen-qv 发表于 2024-3-21 09:00
昨天的日志

首先这不是脚本，就是个常规的白加黑SideLoader
第二，这个和https://bbs.kafan.cn/thread-2267272-1-1.html是同一个，我测试的时候是19:48

keen-qv

DisaPDB 发表于 2024-3-21 09:45
首先这不是脚本，就是个常规的白加黑SideLoader
第二，这个和https://bbs.kafan.cn/thread-2267272-1-1. ...

那这就很有意思了哦，我这也是使用的360杀毒最新版本，至于为啥不报，只有一种解释，就是卫士的数据没有更新过来，或者云不同步（我也更相信这种解释，因为刚刚测了下，依然显示的文件安全）

DisaPDB

keen-qv 发表于 2024-3-21 09:52
那这就很有意思了哦，我这也是使用的360杀毒最新版本，至于为啥不报，只有一种解释，就是卫士的数据没有 ...

双击试过吗
360拉黑的是衍生物

keen-qv

DisaPDB 发表于 2024-3-21 09:54
双击试过吗
360拉黑的是衍生物

虽然我这是测试机，但是我开了其他的任务在工作，不敢试，我印象里杀毒的主防，病毒库是落后于卫士的，试了可能就逝了

DisaPDB

keen-qv 发表于 2024-3-21 09:58
虽然我这是测试机，但是我开了其他的任务在工作，不敢试，我印象里杀毒的主防，病毒库是落后于卫士的，试 ...

那也可以手动解包之后再扫描啊……看你的日志是扫描的msi包，360杀的是释放的衍生物

keen-qv

DisaPDB 发表于 2024-3-21 12:05
那也可以手动解包之后再扫描啊……看你的日志是扫描的msi包，360杀的是释放的衍生物

很早就料到会有人这样回复，所以早上时候特意再次右键扫描了，另外特意说明下，前面几次测试使用的360杀毒右键扫描的整个（不带压缩密码）的压缩包，今天早上八点多测试的是解压之后的整个文件夹。（其实熟悉安全软件的朋友们都知道，一个压缩包如果没有设密码，右键扫描的情况杀毒软件同样可以检测出相关的恶意问题，360杀毒应该在这方面也没多大问题？毕竟卡饭论坛样本区见过几次带密码的压缩包 被360报毒的情况，这里假定360不具备这方面能力）


任何的安全软件都有好的一面，也有漏报或者bug的可能性。有质疑的声音很正常，其实完全可以理解，但是呐，有质疑也应该主动求真吧，毕竟样本数据都是有的呀，这可比某些评测只给一个截图排名，以某些理由不给相关的样本，更加打动人心有说服力吧，你可以自己下个360杀毒测试一下之后，再来回复也不迟啊。还有一件事情啊，脚本病毒这个结论是昨天晚上火绒给的报毒结果。

我这里的结论是截至发帖时，360杀毒7.0pro最新版（病毒库已更新至最新版，联网正常）测试结果为漏报。对回复中的相关截图内容真实性负责。

dght432

应该是衍生物触发主防规则了

DisaPDB

keen-qv 发表于 2024-3-21 12:12
很早就料到会有人这样回复，所以早上时候特意再次右键扫描了，另外特意说明下，前面几次测试使用的360杀 ...

1，360在不解包扫描的情况下不可能检测到内部文件是否恶意，除非把压缩包整个拉黑

2，.msi包不是普通的压缩包，我说的解包是用msiexec /a命令解包

3，都说了360拉黑的是衍生物衍生物衍生物，如果说我没有求证的话你连msi都没有安装的算什么情况

4，到目前为止msi包已经入库，我就算想测试也没有时效性

keen-qv

DisaPDB 发表于 2024-3-21 14:02
1，360在不解包扫描的情况下不可能检测到内部文件是否恶意，除非把压缩包整个拉黑

2，.msi包不是普通 ...

（好端端的一个样本发出来，结果也贴出来了，没带任何色彩的发了一个也算不上什么高价值的样本出来，怎么搞的和粉丝圈一样，十分纳闷）

我看过你之前的帖子，也明白你确实很喜欢360，包括你之前我看到你也提过你的几个工作机都是装的360，当然这些都是题外话了，还是回归正题吧，第一次在卡饭样本区争辩一个360杀毒到底有没有问题，我还以为我午休没睡醒看花了.......我看到你回复了我三点，我这里只回答你前两点，至于为啥不回答第三点，你后面看完就知道了
1.右键扫描360正常情况下是可以检测压缩包中的恶意文件的
2.msi确实不是普通的压缩包文件，我还以为你说的是我最早的那个压缩包，原来说的是这个，所以这里呐，我把你的第三点一块儿回答了，那就是什么呐，其他同学的评论回复中用的国内外杀毒软件或者安全软件都是直接右键扫描或者快速扫描，都能够检测出相关的恶意文件，且有效拦截，难道使用360杀毒的用户必须还得自己用命令挨个解包，然后才能识别吗？至于第三点为啥不回复。

其实和第二点类似，单纯的纳闷，其他安全软件都能查杀，且360安全卫士也能在下载后第一时间查杀拦截，唯独360杀毒没有查杀识别到，前文中我也提到了测试机中有其他的任务，不可能专门来双击来试毒。况且明知道是病毒的情况下，为什么要诱导我们这种普通工作用户安装这类恶意程序来满足你所谓的衍生物结论呐，本体确实没有查杀到，从通常情况下，这就是漏报，360扫描漏报的事实已经摆在面前了，我冒昧问一句是360官方这样回复你的吗？或者说你们360有自己的一套方法重新定义漏报？


还有最后一点啊，挺纳闷，也就是你说的时效性问题，这一点我完全能够理解你，毕竟360拉黑速度快，这已经是大家心目中的印象了，不过在没测试或者因为时间缘故确实没测试到的情况下，拿一堆专业词汇，来推翻我们实际测试且可以担保真实的结果情况，满足一个360没有漏报的结论，你不觉得这逻辑很诡异吗？