是否过【360的样本】大家来共同测试

695580825

√×√×√√× 发表于 2011-2-25 09:28
囧，其实我又有点开始怀疑楼主用的是白文件了。。。。。不是一次两次了

亡灵之月 发表于 2011-2-25 09:32
除  虚拟光驱.exe 可以运行外，其余exe全被保镖拦截

360卫士云扫不报，也没有上传。

亡灵之月 发表于 2011-2-25 09:38
偶没说保镖算，偶只是在验证是否在360的白名单，就像你上次发的样本一样，保镖不拦截，因为在白名单，最后被确认为白样本。

√×√×√√×

不好意思，该文件均不在360白名单中

具体你自己测试去吧（样本已发 忽悠人的会给你样本？没脑子， 你不会测试？还白样本你分不清？）

亡灵之月

谁说给样本的就不忽悠？上次的就在白名单

695580825

√×√×√√× 发表于 2011-2-25 09:39
囧，在线扫描结果没有任何意义，你想看的话我可以果断给你上行为分析，只是希望你能严谨点，发样本上来之 ...

网购保镖已经拦截，证明不在白名单中，你看不到？

在线扫描可以代表一大部分的意义，你看不出只能证明你的等级太低需要提高和历练。

严谨？估计说的是你自己吧，我样本已发（忽悠人的会给你提供样本？）

而且你不会自己去测试？真没脑子~ 还白样本你分不清？

【没有任何一款安全产品可以保证100%】具体自己测试去吧。

695580825

亡灵之月 发表于 2011-2-25 09:47
谁说给样本的就不忽悠？上次的就在白名单

请赶快去进行测试，不然一会就被360收录了，就会出现360查杀了，哈哈~

360安全卫士扫描 主动防御 360杀毒扫描等。

√×√×√√×

695580825 发表于 2011-2-25 09:42
√×√×√√×

不好意思，该文件均不在360白名单中

囧，世界上有无辜的人，你不认识的无辜的人就不算是无辜的人，我真不知你这个逻辑是怎么想的。每天世界上都有上千款新的，自己制作的软件诞生。其中无害的无数，没有遇到就没法收集。不代表不在白名单内就不是白文件。

√×√×√√×

囧，我先给你上第一个样本的行为分析，这个只是一个经过改良的Virtual Drive Manager 虚拟光驱软件

这个程序之所以被可疑，是因为本身没有数字签名了，因为被用压缩包进行了打包，双击后会直接释放文件和安装服务，相当于一个简化的绿色版，在你关闭程序的时候其服务也会随之关闭，根本不会随机启动，而是手动随程序本身启动的。文件释放都是在系统临时目录下。

创建文件：
C:\Documents and Settings\xice\Local Settings\Temp\RarSFX3\vdd-x64.sys
C:\Documents and Settings\xice\Local Settings\Temp\RarSFX3\vdd-x86.sys
C:\Documents and Settings\xice\Local Settings\Temp\RarSFX3\Virtual Drive Manager.exe
（两个不同系统环境的驱动，一个主程序）


创建服务：
VirtualDrive
（这个服务在关闭程序后会被自动关闭）

创建进程：
C:\Documents and Settings\xice\Local Settings\Temp\RarSFX3\Virtual Drive Manager.exe
创建注册表：
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b011c868-b67a-11df-ace4-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fa9a7a08-b63c-11df-8b25-000c29b40dc3}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\AutoDetect
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\UNCAsIntranet
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\\C:\DOCUME~1\xice\LOCALS~1\Temp\RarSFX3\Virtual Drive Manager.exe
HKCU\Software\Towodo Software\Virtual Drive Manager
HKCU\Software\Towodo Software\Virtual Drive Manager\Init
HKCU\Software\Towodo Software\Virtual Drive Manager\Settings
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common Desktop
KLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common Documents

695580825

√×√×√√× 发表于 2011-2-25 09:52
囧，世界上有无辜的人，你不认识的无辜的人就不算是无辜的人，我真不知你这个逻辑是怎么想的。每天世界上 ...

说那么多废话干什么呢？

样本已经发出，你不会测试？

你们这些人真贱~人家发视频过的，说一堆废话给人家要样本。

样本已发出（已经多方证明 不在白名单以及扫描无反应 在线扫描多款报毒）

多款报毒就有原因，不可能那么多款都同时误报吧？为什么仅仅是主流不杀呢？

样本发出你们不测，又说一堆废话，不在破灭你们心中的宇宙第一？

【没有一款安全产品可以保证100%】别说废话了，赶快去测试吧。

√×√×√√×

695580825 发表于 2011-2-25 09:56
说那么多废话干什么呢？

样本已经发出，你不会测试？

囧，在说废话的是你好吧？行为都给你列出来了。自己都没试过好意思去叫别人试？有本事你也拿出样本流程来啊