关于国内区过360主防的样本

leisong

==========有什么搞笑的问题欢迎继续发帖，不会再理会你。==========

我看来看去，就看到这一句勉强算违规，永封封的好。。。。。。。。。。。。。

√×√×√√×

360安全卫士7.6 1002 T版 一开始运行样本后拦截启动项，之后样本提示运行出错，查看是有一个进程载入了，但是没有联网，也不知道是干什么的，怀疑是挂死了。

拦截启动项：


样本提示出错：


没有联网：

chaezoy

回复 9楼 leisong 的帖子

实机测试的，重启后没有自启动，已经成功拦截对自启动项的写入和加载。
有一点不是很明白：
因为生成的netview.exe被QVM报毒，应该是恶意文件吧，但是在关闭杀毒，用卫士测试的过程中（重启之前），这个进程已经成功创建并且执行，并且伴随联网动作，这个行为是通过防火墙看到的，在整个过程中卫士并没有对该进程进行相关的拦截和提示，那是说明卫士的拦截还有缺陷，还是本身这个程序没有恶意行为？如果没有恶意行为的话，重启之后用杀毒扫描，为什么报毒呢？

chaezoy

回复 12楼 √×√×√√× 的帖子

奇怪，我昨晚测试的时候那个进程是有两次联网动作的，毛豆防火墙给出了提示（当时已经禁用D+），另外对于衍生物扫描SD2.0报毒……

√×√×√√×

chaezoy 发表于 2010-12-29 09:41
回复 12楼 √×√×√√× 的帖子

奇怪，我昨晚测试的时候那个进程是有两次联网动作的，毛豆防火墙给出了提 ...

当然也可能是注入其他进程或者是通发邮箱了，不过可能性并不大。

lwzy2046

回复 11楼 leisong 的帖子

MJ那算是累犯了...
虽说不同帐号...
所以，我才说mj为啥不能跟dolo那样淡定点呢...

leisong

回复 13楼 chaezoy 的帖子

卫士的云监控早就可以内存监控了，但对非敏感区的写文件不监控

从你的测试看，这个程序运行了，那应该是卫士不报毒了，你应该用卫士扫

=====================如果没有恶意行为的话，重启之后用杀毒扫描，为什么报毒呢？===================

QVM报毒不是根据恶意行为啊，QVM是启发引擎，静态启发，即便一个不被加载死DLL文件QVM照样可以报毒啊

lwzy2046

leisong 发表于 2010-12-29 09:45
回复 13楼 chaezoy 的帖子

卫士的云监控早就可以内存监控了，但对非敏感区的写文件不监控

确实，报的启发....

chao...这个传VT，有啥结果没？

leisong

√×√×√√× 发表于 2010-12-29 09:43
当然也可能是注入其他进程或者是通发邮箱了，不过可能性并不大。

如果成功注入并联网的话，卫士主防就失败了，因为拦截注入在单项拦截项目之内，这是最起码的主防拦截能力，不能拦截注入和启动项的，都是对抗不了木马攻击的

leisong

chaezoy 发表于 2010-12-29 09:41
回复 12楼 √×√×√√× 的帖子

奇怪，我昨晚测试的时候那个进程是有两次联网动作的，毛豆防火墙给出了提 ...

云端QVM报毒，应该杀毒和卫士是通用的

你看下日志呢，是否当时测试的时候作为未知上传了，然后测试完反馈回来杀掉了，这种情况很普遍的