【娱乐向】一些免费扫描器or急救箱简单测评

wuming_bpnes

诺顿纯一坨我是没想到的，是摆烂了吗
还有就是360，联网改hash都能一坨的啊

DisaPDB

wuming_bpnes 发表于 2024-5-8 01:30
诺顿纯一坨我是没想到的，是摆烂了吗
还有就是360，联网改hash都能一坨的啊

所有改hash的样本在卫士/杀毒上会被上传到自动机再跑一遍，急救箱可能是没有这个功能导致检测率低
因为急救箱本身就是为了解决常规杀软解决不了的问题设置的，跟扫描器不一样

Raven95676

DisaPDB 发表于 2024-5-8 06:51
所有改hash的样本在卫士/杀毒上会被上传到自动机再跑一遍，急救箱可能是没有这个功能导致检测率低
因为 ...

这次测试充分的说明了不要把急救箱当扫描器用（
或者说，不要把专精于系统急救的扫描器当正常扫描器用

00006666

Raven95676 发表于 2024-5-9 11:18
这次测试充分的说明了不要把急救箱当扫描器用（
或者说，不要把专精于系统急救的扫描器当正常扫描器用

急救箱是设计用来干运行中的驱动木马的，对抗那些强注册表保护导致别人扫不出来的，急救箱能扫出来，但是急救箱扫描r3程序某些情况还不如360安全卫士

Raven95676

00006666 发表于 2024-5-9 11:37
急救箱是设计用来干运行中的驱动木马的，对抗那些强注册表保护导致别人扫不出来的，急救箱能扫出来，但是 ...

当然，测试结果可以把这条充分的反映出来——改了hash啥都扫不出来，不改hash直接运行的情况下可以干掉rootkit。

00006666

Raven95676 发表于 2024-5-9 11:47
当然，测试结果可以把这条充分的反映出来——改了hash啥都扫不出来，不改hash直接运行的情况下可以干掉ro ...

急救箱干驱动不看hash，他会把不在白名单的持久化驱动全部干掉，但凡有持久化，boot型驱动啥的，全部干掉

Raven95676

不过我也没想到360急救箱的本地引擎相当于没有……可能是为了能在任何情况下都能启动而做出的必要的牺牲？

顺带一提，360安全卫士还能能查杀改了hash的这几个样本的（qvm杀）
以及，在360安全卫士成功查杀没多久，360急救箱就能查杀了（联网，不再次改hash）。

关于急救箱为什么成绩差我已经解释了——靠我的猜测

DisaPDB

Raven95676 发表于 2024-5-9 11:47
当然，测试结果可以把这条充分的反映出来——改了hash啥都扫不出来，不改hash直接运行的情况下可以干掉ro ...

关键是你改了hash之后rootkit sign已经失效了啊，如果在入库情况下不加载不需要急救箱也能干掉

Raven95676

00006666 发表于 2024-5-9 11:56
急救箱干驱动不看hash，他会把不在白名单的持久化驱动全部干掉，但凡有持久化，boot型驱动啥的，全部干掉

这样吗，学习了

00006666

Raven95676 发表于 2024-5-9 12:01
这样吗，学习了

不然你猜它为什么，一堆人测试，急救箱会误报卡巴BD等等的驱动，会误报各种驱动   急救箱是要靠人工加白
比如:https://bbs.kafan.cn/thread-2266698-1-1.html