安全软件提示拦截病毒运行就一定拦截了吗？

尝微听几

回复 10楼 Lgwu  的帖子


    但是丢号了就是没拦住啊

Lgwu

回复


    但是丢号了就是没拦住啊
尝微听几 发表于 2010.7.29 23:57

貌似你还是没明白。假设一个病毒通过监控，写注册表一处，生成两个文件。
那好，通过拦截后，根据监控位置去查注册表是否写成功。两个文件是否创建成功。
其实只要两个文件未创建成功那已经算是成功拦截了。如果文件创建成功，那就是
拦截失败。通过检查，并没有发现文件创建。这个时候丢号和该病毒还有什么关系呢？

Lgwu

补充：创建文件的同时可能会有进程创建这些动作，通过监控是可以看到的。

英姿飒爽

万事皆有可能

gxczlzz

一般用户都是看都不看，直接拦截的

忧郁的迷糊酱

回复 12楼 Lgwu  的帖子

话不能说太满了.如果是严格的测试环境里面,如果运行病毒后,专门注册来测试用的帐号丢了,别的操作都没有...那么不与漏杀有关与什么有关呢?难不成正好有个黑客攻击你?或者你故意泄露了账号?在无设计漏洞的测试中,没丢号≠拦截成功,但是丢号了一定是拦截失败.

   

另外还不排除病毒是纯加载到内存里面的那种,在杀软判断是否病毒的延迟里,利用杀软的监控漏洞成功加载到内存,完成盗号动作然后被杀的那种可能性.这种对系统没造成任何改变,但是却是漏杀了.这种监控的逻辑漏洞导致病毒的成功加载也算是漏杀.

ljmming

这个东西说不好

Lgwu

回复

话不能说太满了.如果是严格的测试环境里面,如果运行病毒后,专门注册来测试用的帐号丢了,别的操作都 ...
忧郁的迷糊酱 发表于 2010.7.30 10:04

我没有把话说满。你这是基于测试环境、假设情况下的。为何你不假设楼主所遇到的
丢号有其它N种可能呢？
监控逻辑漏洞的确算是漏杀，但是实际上网友正好遇到加载，正好登录帐号的可能性
几乎为0.这种几率考虑的优先级多数都会最低。

你这些都是基于假设，并且要巧合的不能再巧合的情况下。为何你不说病毒利用了0day
呢，直接如环0，直接使杀软失效呢。那样丢号更是没拦截住的原因。

梦相首

路过看看啊

zhen2zhen

..不知道怎么答你