查看: 2015|回复: 10
收起左侧

[讨论] 有一事求教。

[复制链接]
5332666
发表于 2010-8-20 18:18:10 | 显示全部楼层 |阅读模式
本帖最后由 老佳 于 2010.8.20 22:02 编辑

偶在样本区测试病毒,通常是下载到桌面,解压之,360卫士报毒,就截图上传。360卫士不报,我就上报。

但是昨天有人经过测试,说是样本下载到别的硬盘解压,并不会报毒。我也不懂,特来求教。

【转帖】

回复 17楼 5332666  的帖子

看了你17楼的发言,我于是想看看这个木马防火墙到底有多能耐。到官网找了很久,没看到有单独的这个“木马防火墙”,于是看了其他网页上的介绍才知道原来是在360安全卫士里。下载了安全卫士来装了,更新了它的备用木马库。按理说,更新到今天的木马库是肯定能认得本楼这个样本的对吧,然而,不管我把那个压缩包放到哪里去解压,我这里新装的这个卫士里的“木马防火墙”它就是一声不吭。
于是,我很友好的猜想,会不会是因为这个样本其实没有危害,360新的库中并没有它的信息?
然后我又下载了另一个叫“熊猫烧香二代”的样本,在桌面上解压,我的“360木马防火墙”仍然没动静,我又复制到其他地方解压,还是没动静。我再下载了个tmp病毒样本,这个应该不是无害文件了吧,解压,还是没动静,甚至我很无聊的把它改后缀为exe并压缩后再解压,没有惊喜,我那高贵的“360木马防火墙”非常安静。
嗯,难道说这个“360木马防火墙”非常智能,知道我在这里说了它的坏话,干脆不为我工作了?这也太神奇了吧。
如果说是因为我这里没有安装360杀毒,那么它更新的那个“备用木马库”是什么东东?
就在我抱怨的时候,它终于有动静了,说是explorer修改hh.exe,不知道这是哪个样本干的,我初步怀疑是那个pif快捷方式。等把它解决了再看。

回复 21楼 5332666  的帖子

既然样本在别的硬盘解压不会报,那么很显然它报的根据就不是样本的特征,而仅仅是特定的路径以及特定的文件格式(例如凡是桌面的LNK文件被修改它都会报,关于这一点你自己可以验证的,在别人的电脑那里复制一个LNK文件到自己的电脑上打包,再到桌面解压),当然这种思路有实用价值,很多流氓软件都会恶意修改桌面上的IE快捷方式,不过,它总是报winrar这类解压工具就很容易误导用户。这类防御思路只能作为辅助手段,因此用这个木马防火墙来检测本论坛的样本,不合适。
我昨天下载到的是7.1版本。我没有安装杀毒。也没有打开云。
昨天后来的经历让我感觉很受伤,折腾了近一个小时我也没能干净的弄掉那个坏东西。看来是那个tmp样本。因为总是在%temp%下面会生成一个172KB大小的tmp文件,名字随机,并且这个文件会插进explorer的模块中(看来除了LNK漏洞之外还存在一个tmp漏洞?我很确定我没有运行过样本),因此无法简单的删除掉它。暴力删除后,如果运行一下其他软件,这个幽灵一般的tmp文件又复活了。无奈之下,恢复了系统。现在仍在担心中,我不知道我的其他分区上的程序是否被感染,也不知道如果被感染有没有杀软能清除它。
我突然之间有个感觉,360木马防火墙监视的那个用户桌面,是在c盘那里,那个系统默认分配给用户的桌面路径。而不是用户自己定义的桌面路径。如果这样,我昨天的测试中它一直很安静就很好解释了,因为我使用中的这个桌面,真实路径不在c盘。
由此,我想顺便给360提个建议,一些取巧的思路是可行的,只要能保证用户的安全。不过,也要尽量考虑各种可能。比如这个桌面的路径,以及其他一些用户可能会自定义的特殊文件夹的路径,我建议从注册表里读取。


————————————————————分割线————————————————————
根据国内大区版规

4、发帖标题应简明主旨,内容应具体翔实。诸如“版主进来”、“高手救命”、“请教”、“SOS”、“HELP”、“119”等类似字眼的“跪求”帖均锁帖或移除


已经对标题作出适当调整。

老佳
囧神
头像被屏蔽
发表于 2010-8-20 18:20:46 | 显示全部楼层
囧,卫士对解压到桌面上的文件,凡是没有被列入白名单的基本都会报~ 所以测卫士检测率的时候,一般都不会把样本往桌面上解压的。
白羊座
发表于 2010-8-20 18:22:29 | 显示全部楼层
熊猫烧香2根本不是毒,怎么报?顶多人工入库做个joke
后面一串的联想,再丰富都没用了,出发点不对
あ掵㊣峫淰℡
发表于 2010-8-20 18:22:34 | 显示全部楼层
坐等mj和大白羊
colorful_days
头像被屏蔽
发表于 2010-8-20 18:49:06 | 显示全部楼层
坐等mj和大白羊
あ掵㊣峫淰℡ 发表于 2010.8.20 18:22


你上边就是羊
fuqiuqiu
发表于 2010-8-20 18:51:07 | 显示全部楼层
回复 4楼 あ掵㊣峫淰℡  的帖子
来了,在你楼上呢[:27:][:27:][:27:]

   
jefffire
头像被屏蔽
发表于 2010-8-20 18:54:05 | 显示全部楼层
又是新熊猫。。。。那贴误导多少人啊。那个所谓熊猫,就改了个注册表,导致图标被改,其他什么也没有。
XMonster
发表于 2010-8-20 20:01:03 | 显示全部楼层
确实,有些病毒放桌面马上报    非桌面有些运行都不会报
あ掵㊣峫淰℡
发表于 2010-8-20 21:43:15 | 显示全部楼层
回复 6楼 fuqiuqiu  的帖子


    回复 5楼 colorful_days  的帖子

额  我和白羊座是同一时间发帖    就晚了几秒
liveliub
头像被屏蔽
发表于 2010-8-20 23:34:34 | 显示全部楼层
不是吧  360卫士对于病毒压缩包解压还能监控 ?

为什么我偶尔几次解压都是其他杀毒报 360毫无动静了 ?

ps  网盾下载保护何时才能出来  ?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 00:09 , Processed in 0.126963 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表