监控不给力啊，独占的文件监控不到... 实时监控开最大

hopetobe

我再重申一下，这个样本本来就是可以查杀的，扫描也是可以清除的，那些说一下载就拦截的同志们麻烦看清楚了...
我的用意是说明已经可以查杀的病毒，运行以后，特征码没变的情况下，监控确实存在监控不到的情况，我重新在虚拟机跑了一下，遵循的步骤是先关闭监控，再运行病毒，再开启监控进入染毒文件夹，对病毒进行复制操作，监控是不报警的！
这次实时监控高启发、潜在不安全应用程序、加壳程序都选上了，对病毒生产的文件进行访问依然不报毒，只有通过扫描才可以报。

不相信的可以自己跑虚拟机试试！

这让我想到了一个情况，那就是一些病毒，你中毒的时候杀毒软件没有把病毒入库，过几天杀毒软件入库以后监控却没有发现，非要你扫描才能发现，假如你不知道，可能等你再次全盘扫描发现它的时候已经过了很久了，号说不定早被盗了。











首先，扫描这个样本，明显是认识这货的



然后关闭监控运行样本，染毒之后开启NOD32监控进入病毒所在文件夹



进去了，居然没有反应，监控开着呢



心有不甘，尝试点击“复制”刺激一下，居然还是不报



难道是特征变了不认识了？扫描之，发现还是认识的……汗，居然可以和谐相处




用毛豆试过，样本运行时安装了全局钩子，文件是独占的，监控不到，但是可以扫描清除，不过有时候也许一切都晚了...
监控不到的原因我觉得是病毒用特殊方法独占了这个程序




ESET把你添加家长控制那无聊的劲儿，搞在正途上吧，还是留恋轻、快、准、狠的感觉




样本附上，有空的同学可以去玩玩

The EQs

你自己设置的问题，把实时文件防护的加壳和高级启发打开或者高级设置里面打开文件执行的时候启用高级启发

jack1986001

回复 1楼 hopetobe 的帖子

如2L问，你的本地监控设置把加壳、高启全开了没？相信你扫描是全开的吧？

qfbzh

默认设置，一下载就报毒了

xing2005206

下载报毒，如果运行了才拦截，我想大多数杀毒都over

机会太贵

一下载就报读了。。。。。

hopetobe

我明天把加壳高启开了试试，我没运行样本的时候解压、下载都会报警的，就是运行以后开监控不报警

strawman0719

hopetobe 发表于 2010-11-1 18:55
首先，扫描这个样本，明显是认识这货的

楼主的设置绝对有问题的

另外您运行了样本再考验NOD32的清毒能力实在会让您很失望，机子会挂的很惨

strawman0719

hopetobe 发表于 2010-11-1 18:55
首先，扫描这个样本，明显是认识这货的

楼主的设置绝对有问题的

另外您运行了样本再考验NOD32的清毒能力实在会让您很失望，机子会挂的很惨

hopetobe

回复 9楼 strawman0719 的帖子

我是考验它的监控，是对已经运行了的样本的监控能力，设置是默认设置，不信你用虚拟机按照我的步骤试试