据说这个是真过360主防

显示全部楼层 · 发表于 2011-2-26 00:25:14

回复 81楼 zdolo 的帖子

- - 假设、求证是基本推理逻辑。。。牛口风真严啊~

啥不懂，开玩笑的，喜欢把debugman叫debugmm~~哈哈哈。。。

显示全部楼层 · 发表于 2011-2-26 00:28:52

回复 91楼 tedrick 的帖子

暂时一些思路还是不会太公布，毕竟有人盯着呢，等时机成熟了，到可以公布一些，另外，基本不会逆向，破解，所以的确不懂，毕竟以前工作不是干这行的

显示全部楼层 · 发表于 2011-2-26 00:34:34

本帖最后由 tedrick 于 2011-2-26 00:37 编辑

回复 92楼 zdolo 的帖子

好，那等你熟了的。。。。难怪没见过你。呵呵。

啥时候真正不需要云上云下任何白名单，AI分析PE行为，并能较为准确滴判断，少交互。。。不过恐怕微软这个平台也做不到。。。

忘了说了。。。为了区分安软和病毒行为，有效签名得有~

显示全部楼层 · 发表于 2011-2-26 00:39:12

回复 93楼 tedrick 的帖子

的确比较困难，不过按目前的趋势，不做这方面尝试，杀毒厂商估计是玩不动的，恶意软件太多了，和以前纯病毒的情况太不相同了，气氛都变了，呵呵

显示全部楼层 · 发表于 2011-2-26 00:40:26

本帖最后由 Tron 于 2011-2-26 15:36 编辑

jefffire 发表于 2011-2-26 00:18
对的，入沙要触发规则才行，而目前的规则基本很废，要等云社区规则完善后能好些。

=====

显示全部楼层 · 发表于 2011-2-26 00:41:27

又测试了下，拦截的和jefffire的差不多，只是我只弹了两个窗口，系统就注销了，然后360主程序不见了

重启又看了下，360的盾牌不见了，上xuetr，360的7个个驱动都还在，双击360卫士桌面快捷方式，主界面无法出现-------------根据进程名拦截吗？

我也只能做到这里了，现在正在想办法看日志

显示全部楼层 · 发表于 2011-2-26 00:44:33

回复 94楼 zdolo 的帖子

确实，签名便宜。。。很多3流公司校验不严谨，签完了都成免费白loader了。。。不过360现在的云端验证、客户端封堵的方式着实有效啊。。。全是骗点的、后台刷的，以后免费也是趋势。。。

显示全部楼层 · 发表于 2011-2-26 00:47:43

Tron 发表于 2011-2-26 00:40
云社区也解决不了问题吧，动态入沙其实本质上是个伪功能，如果你都知道这是恶意程序/可疑程序了，为什么 ...

也算是一种方法吧？程序可疑触发规则自动入沙进一步检验以防止误报…
是不是跟360的发现可疑上传云鉴定有些殊路同归？我是说为达到的目的大致一样

显示全部楼层 · 发表于 2011-2-26 00:47:50

回复 95楼 Tron 的帖子

看上去360的沙箱功能要上啊？

显示全部楼层 · 发表于 2011-2-26 00:48:05

回复 95楼 Tron 的帖子

那么如果把沙箱设置为：沙箱内运行的程序只能运行在r3，不在白名单则运行在沙箱中，如何？

兼容性的问题沙箱无解，不过大多数程序都不会加驱什么的，r3就足够大多数程序运行了

另外沙箱也可以加入规则，根据规则的严格程度分级，不过自动分级也可能会卡机

我希望看到的沙箱是：拥有简单安全级别的沙箱，比如无法联网，尽可能保证兼容性，规则适当宽松；可以联网，但是对沙箱内程序的规则比较严格；等等，分3--4个级别就行了

[讨论] 据说这个是真过360主防

本帖子中包含更多资源