发现卡巴的主动防御貌似对dll监控有问题

显示全部楼层 · 发表于 2024-12-19 22:15:20

https://wwum.lanzoub.com/i5GL02ijt0uj

这个是样本区的样本，里面的libcef.dll被卡巴ksn云黑，但是扫描不报，双击也不杀，换360卫士双击直接秒（卫士扫描能检出，双击也能拦截），不知道各位有没有这问题

显示全部楼层 · 发表于 2024-12-19 22:42:42

咨询一下哈
dll怎么双击啊

显示全部楼层 · 发表于 2024-12-19 22:44:41

本帖最后由啊松于 2024-12-19 22:47 编辑

pal家族发表于 2024-12-19 22:42
咨询一下哈
dll怎么双击啊

直接点白exe（按道理双击应该可以把黑dll给干掉才对）

显示全部楼层 · 发表于 2024-12-19 22:48:48

啊松发表于 2024-12-19 22:44
直接点白exe（按道理双击应该可以把黑dll给干掉才对）

你那边没有报错退出吗

显示全部楼层 · 发表于 2024-12-19 22:50:29

@Wesly.Zhang 帮忙看下这个dll 监控和扫描不杀。是什么原因呢？和我之前反馈的问题很像哈。

显示全部楼层 · 发表于 2024-12-19 22:54:15

本帖最后由啊松于 2024-12-19 22:56 编辑

pal家族发表于 2024-12-19 22:48
你那边没有报错退出吗

报错退出应该是因为有两个png衍生物被卡巴杀了，奇怪的地方就在于为什么dll被ksn云黑了，双击确没拦截（360能双击拦截说明dll应该是被运行起来了）exe和msi这些可执行文件在被云黑的前提下是运行不起来的。（之前作死实体机试毒，结果卡巴没拦截被云黑的dll，导致差点重装系统）

显示全部楼层 · 发表于 2024-12-20 07:11:41

个人猜测是dll太大了

显示全部楼层 · 发表于 2024-12-20 09:20:06

这老问题了，不光DLL,包括exe，等文件，云是红的本地不杀

显示全部楼层 · 发表于 2024-12-20 10:15:11

pal家族发表于 2024-12-19 22:50
@Wesly.Zhang 帮忙看下这个dll 监控和扫描不杀。是什么原因呢？和我之前反馈的问题很像哈。

不用了、、、
文件入库了，没法复现了

显示全部楼层 · 发表于 2024-12-20 11:40:52

Jirehlov1234 发表于 2024-12-20 07:11
个人猜测是dll太大了

小的dll也拦截不了。

[交流探讨] 发现卡巴的主动防御貌似对dll监控有问题