发现卡巴的主动防御貌似对dll监控有问题

显示全部楼层 · 发表于 2024-12-20 13:33:27

本帖最后由 Wesly.Zhang 于 2024-12-20 13:36 编辑

pal家族发表于 2024-12-19 22:50
@Wesly.Zhang 帮忙看下这个dll 监控和扫描不杀。是什么原因呢？和我之前反馈的问题很像哈。

opentip 这个网站不等于 KSN 链接的网站 dc1. file-ksn 服务器，可能有延时，我看了 opentip 的检测是 2024年12月19日，也就是昨天。现在这个检测已经有了。

opentip 不是实时同步结果到 dc1.file-ksn 的，两个数据库有时差，大概在几个小时左右。

显示全部楼层 · 发表于 2024-12-20 13:35:54

Wesly.Zhang 发表于 2024-12-20 13:33
opentip 这个网站不等于 KSN 链接的网站 dc1. file-ksn 服务器，可能有延时，我看了 opentip 的检测是 2 ...

当时右键就是红的。。。。难道右键红的不算吗

显示全部楼层 · 发表于 2024-12-20 13:43:47

pal家族发表于 2024-12-20 13:35
当时右键就是红的。。。。难道右键红的不算吗

Hello，

你右键扫描不报威胁是吧？

显示全部楼层 · 发表于 2024-12-20 14:49:11

本帖最后由 Wesly.Zhang 于 2024-12-20 14:56 编辑

看了下现在的检测逻辑，首先那个dll文件会被引擎本地检测识别为Trojan.Win32.DLLhijack.spn，然后会查询KSN，得到两个答案，1. UDS:DangerousObject.Multi.Generic cloudsandbox=true，这个是缓存在 KSN CDN加速网络中的cache，或者说没有本地引擎检测发生时在沙箱内运行检测的结果。2. UDS:Trojan.Win32.DLLhijack.spn cloudsandbox=false，这个认为那个被人工识别进库后由于没有同步到所有本地威胁数据库时，KSN的新威胁检测名UDS:Trojan.Win32.DLLhijack.spn，然后 inf aveng 将病毒库与KSN的检测进行决策，使用了本地引擎（KDB）的检测结果输出。

你当时鼠标右键 KSN 表示红色的时候，这个检测结果应该是什么？在本地引擎没有本地的病毒定义前，KSN发生了什么是比较有趣的，为什么没有把UDS:DangerousObject.Multi.Generic，这个作为检测结果报出来，难道在 cloudbox 里面运行的结果不作为检测依据？还是当时KSN的CDN缓存根本没有同步到这个检测结果。这都是问题。

显示全部楼层 · 发表于 2024-12-20 15:02:22

Wesly.Zhang 发表于 2024-12-20 14:49
看了下现在的检测逻辑，首先那个dll文件会被引擎本地检测识别为Trojan.Win32.DLLhijack.spn，然后会查询KSN ...

我觉得可以等样本区复现一个扫描miss但opentip红了的场景
基本上后续都是右键ksn红的但扫描miss
遇到这种情况很多次了，而且我看最近有几个帖子也遇到了

显示全部楼层 · 发表于 2024-12-20 15:29:22

awsl10000次发表于 2024-12-20 15:02
我觉得可以等样本区复现一个扫描miss但opentip红了的场景
基本上后续都是右键ksn红的但扫描miss
遇到这 ...

Hello，

有时候是 KSN CDN 缓存的锅。*.ksn.kaspersky-lab.com 有许多马甲，比方说 dc1.file-ksn, pp.ksn,dc1.ksn，cdn上有些信息可能是滞后的。

显示全部楼层 · 发表于 2024-12-20 16:29:08

本帖最后由 pal家族于 2024-12-20 16:40 编辑

Wesly.Zhang 发表于 2024-12-20 13:43
Hello，

你右键扫描不报威胁是吧？

对啊。监控扫描都不行。尤其是我试过专门去掉iswift和ichecker的
和我之前和你吐槽的问题一模一样。我是觉得右键查信誉红了，那肯定某种ksn查询结果是有问题的，引擎就应该知道文件有问题。。。。现在不知道这中间发生了啥。不过我在forum里私你的traces是比较完美的复现。。那个你可以帮我看看。当扫描不报毒的时候发生了啥。那个时候还没有入库呢。

显示全部楼层 · 发表于 2024-12-20 22:03:30

Wesly.Zhang 发表于 2024-12-20 15:29
Hello，

有时候是 KSN CDN 缓存的锅。*.ksn.kaspersky-lab.com 有许多马甲，比方说 dc1.file-ksn, pp. ...

你这意思是右键查询的云，和云拉黑报毒USD杀的云不是一个服务器对吗？它们各管各是不是？

显示全部楼层 · 发表于 2024-12-21 20:49:36

Wesly.Zhang 发表于 2024-12-20 15:29
Hello，

有时候是 KSN CDN 缓存的锅。*.ksn.kaspersky-lab.com 有许多马甲，比方说 dc1.file-ksn, pp. ...

https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2277346#lastpost这又是一个。不知道啥时候回入库。反正趁着没入库的时候我记录了下。

Traces.rar (150.38 KB, 下载次数: 4)

显示全部楼层 · 发表于 2024-12-23 10:26:23

kaba666 发表于 2024-12-20 22:03
你这意思是右键查询的云，和云拉黑报毒USD杀的云不是一个服务器对吗？它们各管各是不是？

他们有个同步关系，软件产品查询的是 ksn 的 cdn 网络，CDN网络有时候会出现多个节点返回不同的结果，也就是不一致的情况。而opentip那个前端给人展示的是最新的结果，这个是有个时间差的。

[交流探讨] 发现卡巴的主动防御貌似对dll监控有问题

评分

评分

评分