收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 卡巴斯基 发现卡巴的主动防御貌似对dll监控有问题
12
返回列表 发新帖
楼主: 啊松
 收起左侧

[交流探讨] 发现卡巴的主动防御貌似对dll监控有问题

[复制链接]
Wesly.Zhang
发表于 前天 13:33 | 显示全部楼层
本帖最后由 Wesly.Zhang 于 2024-12-20 13:36 编辑
pal家族 发表于 2024-12-19 22:50
@Wesly.Zhang 帮忙看下这个dll 监控和扫描不杀。是什么原因呢?和我之前反馈的问题很像哈。

opentip 这个网站 不等于 KSN 链接的网站 dc1. file-ksn 服务器,可能有延时,我看了 opentip 的检测是 2024年12月19日,也就是昨天。现在这个检测已经有了。

2024-12-20_133416.jpg

opentip 不是实时同步结果到 dc1.file-ksn 的,两个数据库有时差,大概在几个小时左右。


评分

参与人数 1人气 +3 收起 理由
dongwenqi + 3 版区有你更精彩: )

查看全部评分

回复

举报

pal家族
发表于 前天 13:35 | 显示全部楼层
Wesly.Zhang 发表于 2024-12-20 13:33
opentip 这个网站 不等于 KSN 链接的网站 dc1. file-ksn 服务器,可能有延时,我看了 opentip 的检测是 2 ...

当时右键就是红的。。。。难道右键红的不算吗
回复

举报

Wesly.Zhang
发表于 前天 13:43 | 显示全部楼层
pal家族 发表于 2024-12-20 13:35
当时右键就是红的。。。。难道右键红的不算吗

Hello,

你右键扫描不报威胁是吧?
回复

举报

Wesly.Zhang
发表于 前天 14:49 | 显示全部楼层
本帖最后由 Wesly.Zhang 于 2024-12-20 14:56 编辑

看了下现在的检测逻辑,首先那个dll文件会被引擎本地检测识别为Trojan.Win32.DLLhijack.spn,然后会查询KSN,得到两个答案,1. UDS:DangerousObject.Multi.Generic cloudsandbox=true,这个是缓存在 KSN CDN加速网络中的cache,或者说没有本地引擎检测发生时在沙箱内运行检测的结果。2. UDS:Trojan.Win32.DLLhijack.spn cloudsandbox=false,这个认为那个被人工识别进库后由于没有同步到所有本地威胁数据库时,KSN的新威胁检测名UDS:Trojan.Win32.DLLhijack.spn,然后 inf aveng 将病毒库与KSN的检测进行决策,使用了本地引擎(KDB)的检测结果输出。

你当时鼠标右键 KSN 表示红色的时候,这个检测结果应该是什么?在本地引擎没有本地的病毒定义前,KSN发生了什么是比较有趣的,为什么没有把UDS:DangerousObject.Multi.Generic,这个作为检测结果报出来,难道在 cloudbox 里面运行的结果不作为检测依据?还是当时KSN的CDN缓存根本没有同步到这个检测结果。这都是问题。

评分

参与人数 1人气 +3 收起 理由
dongwenqi + 3 版区有你更精彩: )

查看全部评分

回复

举报

awsl10000次
发表于 前天 15:02 | 显示全部楼层
Wesly.Zhang 发表于 2024-12-20 14:49
看了下现在的检测逻辑,首先那个dll文件会被引擎本地检测识别为Trojan.Win32.DLLhijack.spn,然后会查询KSN ...

我觉得可以等样本区复现一个扫描miss但opentip红了的场景
基本上后续都是右键ksn红的但扫描miss
遇到这种情况很多次了,而且我看最近有几个帖子也遇到了
回复

举报

Wesly.Zhang
发表于 前天 15:29 | 显示全部楼层
awsl10000次 发表于 2024-12-20 15:02
我觉得可以等样本区复现一个扫描miss但opentip红了的场景
基本上后续都是右键ksn红的但扫描miss
遇到这 ...

Hello,

有时候是 KSN CDN 缓存的锅。*.ksn.kaspersky-lab.com 有许多马甲,比方说 dc1.file-ksn, pp.ksn,dc1.ksn,cdn上有些信息可能是滞后的。

评分

参与人数 1人气 +2 收起 理由
dongwenqi + 2 版区有你更精彩: )

查看全部评分

回复

举报

pal家族
发表于 前天 16:29 | 显示全部楼层
本帖最后由 pal家族 于 2024-12-20 16:40 编辑
Wesly.Zhang 发表于 2024-12-20 13:43
Hello,

你右键扫描不报威胁是吧?

对啊。监控扫描都不行。尤其是我试过专门去掉iswift和ichecker的
和我之前和你吐槽的问题一模一样。我是觉得右键查信誉红了,那肯定某种ksn查询结果是有问题的,引擎就应该知道文件有问题。。。。现在不知道这中间发生了啥。不过我在forum里私你的traces是比较完美的复现。。那个你可以帮我看看。当扫描不报毒的时候发生了啥。那个时候还没有入库呢。
回复

举报

kaba666
发表于 前天 22:03 来自手机 | 显示全部楼层
Wesly.Zhang 发表于 2024-12-20 15:29
Hello,

有时候是 KSN CDN 缓存的锅。*.ksn.kaspersky-lab.com 有许多马甲,比方说 dc1.file-ksn, pp. ...

你这意思是右键查询的云,和云拉黑报毒USD杀的云不是一个服务器对吗?它们各管各是不是?
回复

举报

pal家族
发表于 昨天 20:49 | 显示全部楼层
Wesly.Zhang 发表于 2024-12-20 15:29
Hello,

有时候是 KSN CDN 缓存的锅。*.ksn.kaspersky-lab.com 有许多马甲,比方说 dc1.file-ksn, pp. ...

https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2277346#lastpost这又是一个。不知道啥时候回入库。反正趁着没入库的时候我记录了下。
Traces.rar (150.38 KB, 下载次数: 0)
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 02:35 , Processed in 0.093757 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表