突破卡巴2009下载

xiayang12

上次写了我有个下载者过咔吧2009下载的文章，由于截图不全被许多人骂
        郁闷了，今天下午自己装虚拟机实验
            但是奇怪的是我运行同样的病毒，咔吧2009的反映不同（上次的下载者这次没有下载成功），上次肉鸡上的反映我记得很清楚。
            这次我把图全贴出来给你们看，绝无作弊嫌疑 ，每次运行，我都是点拒绝或是隔离。我是凭的良心说话！！！
              你们自己去分析，这次过咔吧下载的我命名为超级DLL小水牛，因为它是劫持DLL过主动的，记得当初它出来的时候连微点都过，
            本人是微点的忠实FANS，于是上报了微点管理员 。
            至于样本，我还是一句话，我要玩鸽子，要的话你们网上找去，去买病毒作者VIP也可以呀 。别找我要样本，我就这个孤种
             后面咔吧提示的1.EXE是我另外一个下载者，2.EXE,3.EXE是我的两个灰鸽子，其中有个是甲壳虫生成的JKSING，你们想如果这些也免杀
            或者甚至过主动后果是不是很严重？呵呵，我这里拿他们来做标记。

[ 本帖最后由 xiayang12 于 2008-7-9 15:48 编辑 ]

醉一生爱妍

也许会有好戏看的

syfwxmh

我觉得lz应该学一下卡巴的HIPS防御机理~~他的智能HIPS和微点的不一样~~判断标准也不一样~~从你这回给出的截图是完全拦截的~~
至于你问为什么会报名称~我告诉你~卡巴2009的HIPS防火墙PDM病毒库启发DNA等模块都是高度融合~比如你测试一个已经可以查杀的样本~即使你已经关闭监控并运行~HIPS会毫不犹豫地加入到不信任组~你可以看到标记是XXXXX名称~~尤其是你做的免杀~~虽然躲过了卡巴扫描但是运行后还是老样本~~所谓换汤不换药就是这个原理~~而且你说的下载者测试想必你也看过我反驳你的帖子~~那个是病毒样本的BUG~~即使不联网也会弹出提示~而且病毒刚一生成由于病毒库已存在你的样本所以很快查杀了~~
LZ你的精神很让人佩服~但是请你注意卡巴的HIPS不是单独的HIPS不像微点，不像TF COMODO，它追求的是一个立体防御，而不是单纯的HIPS。这样更高效更安全更智能~

syfwxmh

这是关于不信任组的原理

关闭文件监控以及各种干扰因素（关闭TF、AVIRA）

这是一个已经可以查杀的样本

运行直接放入不信任组

看到红框就知道了~~卡巴的HIPS是与病毒库紧密结合~

第二个问题。报毒
免杀是什么，无非是通过更改部分代码，使得跳过启发代码和特征码达到避免删除的目的。运行一个免杀为什么会报毒？
这是因为其原来是什么病毒还是什么病毒，只不过删除了原来的特征码而已，并不影响运行~对于一个曾经已入库的病毒来说，在卡巴沙盘的运行下就会原形鄙陋，如果其中一些行为跟某些病毒行为类似或者触发规则则会出现behavior similar xxxx这就是所谓的PDM和病毒库HIPS的结合，当没有类似行为时则会检查数字签名和白名单，如果没有则会归为低受限，当然这时的danger index在55以下~这时候卡巴只会拦截有害行为放行无害动作。当danger index在99以下则会归为高受限，拦截大部分动作，并有可能配合PDM提示，出现LZ的那几幅截图。如果行为太多会直接放入不信任组。

[ 本帖最后由 syfwxmh 于 2008-7-5 22:33 编辑 ]

promised

这里是样本区
不是卡巴区
没有样本
而你又想要竭力证明一些什么要有依据
我翻看了你以前的帖子
你所谓的过kav还是惯用老套路
替换驱动beep.sys导致ssdt恢复
我可以明确地告诉你，这个kav2009完全可以拦截
单纯地下载动作归于kav防火墙的范畴
主防不作提示不能说明突破卡巴
PDM不是某些hips，无nd，不需要管辖这么大的范围

[ 本帖最后由 promised 于 2008-7-5 22:53 编辑 ]