脚本病毒，360漏报

keen-qv

dght432 发表于 2024-3-21 12:22
应该是衍生物触发主防规则了

估计是这样

00006666

keen-qv 发表于 2024-3-21 14:22
（好端端的一个样本发出来，结果也贴出来了，没带任何色彩的发了一个也算不上什么高价值的样本出来，怎么 ...

其他的杀软也基本都是对整个包的识别入库，他们有特征可以识别这个样本，然后就报毒，部分杀软比如MD跟火绒那种可能通过动态启发可以解析MSI包。

keen-qv

00006666 发表于 2024-3-21 14:55
其他的杀软也基本都是对整个包的识别入库，他们有特征可以识别这个样本，然后就报毒，部分杀软比如MD跟火 ...

对的，老哥，其实就是我的意思，360其实平时也是这个逻辑，然而这次不是

DisaPDB

keen-qv 发表于 2024-3-21 14:22
（好端端的一个样本发出来，结果也贴出来了，没带任何色彩的发了一个也算不上什么高价值的样本出来，怎么 ...

我这里msi包卫士一开始也没有拦截，右键扫描也不报，直到我在虚拟机双击之后才触发执行时扫描报毒拉黑（Trojan.Generic）报法。这个我会去跟官方反馈一下看看是不是扫描逻辑有问题，但你连双击都没有测试谈何来的漏报？不仅是360这样，就算是其他杀软我但凡出现这种情况一样也会指出。
你如果真看过我其他帖子你就应该知道我只是实体机装360，虚拟机还有一堆玩具，卡巴AVG火绒智量一堆七七八八的杀软，我真没搞懂我哪里让你感觉到我是360粉丝了
然后你实体机测毒我也不是很理解，如果你追求所谓的“安全性”为什么不开虚拟机？对你来讲开个虚拟机是内存不够还是什么情况？就算开不了你下个沙盘之类不也一样？

00006666

DisaPDB 发表于 2024-3-21 15:21
我这里msi包卫士一开始也没有拦截，右键扫描也不报，直到我在虚拟机双击之后才触发执行时扫描报毒拉黑（T ...

360貌似不会往云上传MSI包，然后就不存在后面的拉黑等。运行后释放的文件才会被上传并拉黑。

keen-qv

00006666 发表于 2024-3-21 15:29
360貌似不会往云上传MSI包，然后就不存在后面的拉黑等。运行后释放的文件才会被上传并拉黑。

这个同学的回答才是合理的

00006666

keen-qv 发表于 2024-3-21 15:32
这个同学的回答才是合理的

它好像是要等释放的文件被触发拉黑后，才会联动拉黑msi包，单独扫描不会上传。

keen-qv

00006666 发表于 2024-3-21 15:33
它好像是要等释放的文件被触发拉黑后，才会联动拉黑msi包，单独扫描不会上传。

我其实最开始就是这么思考这个问题的，但是可惜的是360杀毒没有上报区功能，所以看不到实际是否上传了相关文件。

DisaPDB

keen-qv 发表于 2024-3-21 15:34
我其实最开始就是这么思考这个问题的，但是可惜的是360杀毒没有上报区功能，所以看不到实际是否上传了相 ...

为什么没有

DisaPDB

00006666 发表于 2024-3-21 15:29
360貌似不会往云上传MSI包，然后就不存在后面的拉黑等。运行后释放的文件才会被上传并拉黑。

360的云传仅限PE文件，所以之前对分离加载的白加黑防御乏力