关于国内区过360主防的样本

chaezoy

原帖地址如下：http://bbs.kafan.cn/thread-876845-1-1.html
由于贴中涉及口水，所以原帖已经被关闭。
出于好奇，实机测试了一下，貌似真的有些问题。
下面是测试结果供大家参考（测试过程中有不规范的地方还请见谅）：

1 测试环境： win7 32bit 旗舰版， 360安全卫士7.6.0.1002

2 运行样本（重命名为1.exe），出现如下弹窗：



点击确定，出现一个进程。



几秒之后1.exe自动退出，创建一个netview.exe进程。



接下来出现一个form，貌似就是netview.exe的UI（鄙视一下，最简单的form都做得这么丑陋）？



C盘下创建了一个目录，内含三个文件：



整个过程360安全卫士没有任何弹窗提示，查看历史记录如下：







看来只是阻止了自启动项。

打开SD2.0，对衍生物进行扫描，报毒：




个人观点：卫士的主防应该还有一些需要改进和提高的地方，另一方面，十分期待QVM早日集成到卫士中去。

PS：如果测试过程有误，请大家不要口水，指明即可，以后我会注意，谢谢！

安仔

有问题就正面面对 没什么大不了的  感谢楼主亲身体验 ！

唯我独尊

欢迎这样如实反映问题的帖子

lwzy2046

貌似MJ这回走眼了？
等老板来科普下他的结果....

chaezoy

回复 4楼 lwzy2046 的帖子

MJ在原帖的44L说某种情况下这个样本会对一些行为形成触发，而且目前所有的安软都无法拦截，卫士以后会加上，不知道到底是怎样的情况。
话说MJ终于让H大的号被永封了……

安仔

回复 5楼 chaezoy 的帖子

可怜的黑黑 。。。

lwzy2046

回复 5楼 chaezoy 的帖子

算了，mj啊....
据jef说，看雪那的mj跟这的鲜明迥异....
难道卡饭这风水克mj？

leisong

回复 7楼 lwzy2046 的帖子

这很好理解，上技术论坛就是为讨论技术的，上道德论坛无法心平气和的讨论技术，想讨论也没人跟你讨论啊，90%以上对360的所谓“批评”都是没事找事的道德贴，连我这样的小白都受不了这样的“道德”氛围，更何况是大牛呢，所以我除了偶尔在这里水2下，不在这发贴了

你最后一句对了前半句，完整的话应该是：卡饭这风水克技术人士，适合“道德家”们发挥口水

leisong

楼主在测试主防后重启下虚拟机看看有没有木马自启动项呢，应该没有，属于主防该阻止的都阻止了，如果是木马尸体，HIPS包括云HIPS没回滚功能，自然是不管的，鉴于智能主防不可能搞禁运，残余进程自然是不管的

但另一方面，360主防体系目前缺少对未知进程的权限控制，在系统重启前是否有泄密风险不得而知，就该木马来讲，MJ说需要特殊触发环境

再者，主防仍在进一步完善之中，或许QVMSANDBOX能弥补残余进程的问题，因为DOLO讲过，QVM放入主防，不止能防可查杀的

lwzy2046

回复 8楼 leisong 的帖子

其实那个第二帖，那LZ除了标题起的有点噱头外，整体也没太过分的话
可能是第一帖的原因把，让MJ把H的号也折进去了...