22号样本包测试结果，拦截率61%,见192F，目前比微点差的很多，见193F

白羊座

回复 99# jefffire


    楼主不愿上日志，特征报毒前必有关键动作被直接阻止

jefffire

回复 101# 白羊座


   那到底是行为特征还是特征码呢？  还有下面这两种报毒，有什么区别么？

白羊座

回复 102# jefffire


    前者是危险行为触发云查询报毒，后者是查询本地流行库报毒

jefffire

回复 103# 白羊座


    原来如此

ezpod32432

LZ做人真难啊。。。

leisong

360特征码报毒，忽略后主防是不是也忽略，这是不是360的机制啊
jefffire 发表于 2010-5-24 13:01

应该不是，因为有几个样本是特征码和主防同时跳出来的，说明2者各管各的
虽然360报毒，不过用DW非信任测试，看不出什么明显的动作

还有33 34 35 36更是什么动作都看不出来就退出了，可见这些样本要么有问题，要么是检测到虚拟环境后自动退出，我说不清这算不算过

下面对比是微点主防漏过样本发现也有26 27 33 34 35 36等没有明显动作的样本
2010.05.22主防剩余样本：


NHIBUVC (9).exe
NHIBUVC (15).exe
NHIBUVC (19).exe
NHIBUVC (21).exe
NHIBUVC (22).exe
NHIBUVC (26).exe
NHIBUVC (27).exe
NHIBUVC (31).exe
NHIBUVC (33).exe
NHIBUVC (34).exe
NHIBUVC (35).exe
NHIBUVC (36).exe
NHIBUVC (40).exe
NHIBUVC.exe

jefffire

回复 106# leisong


    参考一下101~103L
   样本区最近的样本，下载者很多，同系列的很多。我沙盘运行也发现不少自动退出的，还有些下载者根本就是死链接

leisong

回复  jefffire


    楼主不愿上日志，特征报毒前必有关键动作被直接阻止
白羊座 发表于 2010-5-24 13:41

不是不愿，是不知道有这层机制，有很多相同的样本无任何动作进程退出，我也有交代，不算主防漏过。所以，我虽然认真测试了，但不好统计拦截率，不知道哪些样本不算，但我知道确实有好多同类样本，样本质量很差

jefffire

回复 108# leisong


    你发张360主防的拦截日志看看

leisong

回复  leisong


    参考一下101~103L
   样本区最近的样本，下载者很多，同系列的很多。我沙盘运行也 ...
jefffire 发表于 2010-5-24 16:50

的确如此，像33 34 35 36根本没任何动作就自动退出，还有好几个其它同类样本也没什么明显的动作，所以不好算过了360主防，我也不好统计拦截率

但尽管不好统计，还是看出360主防任重而道远，拦截和防断网能力偏低，现阶段肯定不如微点。