360卫士7.3 7月测试完毕, 扫描+主防平均成绩97.53%(仅平均计算有主防成绩的)

jinzijie

回复

昨天的5号病毒麻烦虚拟机测一下，重启看看病毒能否自启动？

我很奇怪，没看到启动项拦截，扫描 ...
leisong 发表于 2010.7.23 08:01

360毫无反应，IE被后台调用了，不过看流量监控没发现异常.....重启后病毒也没自启动...XT下无异样，难道此病毒是个残废- -？发现唯一变化就系统盘生成了个HEUR.EXE文件..

总结：360是拦不住还是压根没必要拦....后者的话主防又算成功了。。

yujiakun

这个测试每天都赢过微点主防

leisong

回复 202楼 jinzijie  的帖子

谢谢！
一个不设置自启动的木马不知道有什么作用？它显然又不是一次性破坏的那种毒，所以我才觉得奇怪，或许是为了链接到毒网下载真正的木马回来，所以一次性链接就够了

但后台调用IE和前台调用有明显区别，明显的木马动作，绝对应该拦的，所以还是判为主防失败吧，希望360能加强防御
   

jinzijie

回复

谢谢！
一个不设置自启动的木马不知道有什么作用？它显然又不是一次性破坏的那种毒，所以我才觉得 ...
leisong 发表于 2010.7.23 12:46

是的，后台调用IE不提示说不过去，360要加强。还好此病毒基本没大动作，我等了20分钟没见其下载回来什么。

360sandbox

5号和6号，DW有“CLOSE HANDLE TOCTTOU”的日志，是什么意思？难道是那个传说中几乎可以绕过所有安软TOCTTO ...
leisong 发表于 2010.7.22 21:12

dw 误报，他的anti tocttou很繁琐性能消耗也很大

toxxttou并不神秘，我在几年前就想到并在内部讨论过了，近期我们也将发布一个版本对抗tocctou，而且不会有额外的性能损失

360sandbox

360毫无反应，IE被后台调用了，不过看流量监控没发现异常.....重启后病毒也没自启动...XT下无异样，难 ...
jinzijie 发表于 2010.7.23 12:39

ie启动一般都是木马试图注入他进行联网操作，注入这个是会拦截，ie启动属正常行为，暂时不会拦截，以后可能加入隐藏启动ie或带恶意网址参数的显式ie启动拦截

jinzijie

MJ来了，又学习一番

leisong

回复 206楼 360sandbox  的帖子

这样就好！还是有技术实力的团队作品更值得相信，DW3.04版和360  1091督导版貌似有点性能冲突，总是有一个看不见的不能结束掉的非信任进程，且有时候会卡上2秒
   
且我以前360TRAY.EXE不定时卡CPU的问题也是和DW冲突，卸载DW很长时间以来，这个进程就不卡了。

jinzijie

回复

这样就好！还是有技术实力的团队作品更值得相信，DW3.04版和360  1091督导版貌似有点性能冲突，总 ...
leisong 发表于 2010.7.23 12:59

我只知道但凡路过hips区，DW的兼容性帖很多，什么蓝屏啊十之八九都是出自于它

leisong

23号包，未开启发90%，开启发46/90=92%<360SD 94%