今天的行为防御无效了？又有了新的发现

byxxdrls

今天运行一个毒霸鉴定为安全的病毒样本，病毒添加启动项，行为防御没拦截，开始认为是该注册表项的写入没拦截，后来一想，应该是毒霸行为防御不拦截“安全”程序的行为。

为了验证毒霸有没有防御该注册表项的写入，我用易语言写了一个简单程序。结果也不拦截。
修改程序，添加对run项的写入，也不拦截。
真是怪了，run项的写入应该是拦截的呀？(这期间用另一程序试了一下，对RUN项拦截了一次）
后来用云鉴定一看，咦，我刚写的这个简单程序怎么去年1月就云鉴定了？那时有云鉴定了么？





后来咨询了一下网友，原来这个程序的特征去年就入库了。哦，对了，这么个简单的程序，特征早就入库也不奇怪。


于是我用UPX加了壳，先运行，毒霸也不拦截注册表项（RUN项）的写入，再用云鉴定，一看，99秒转人工鉴定了。







这次特征没入库。既然是未知程序，其写启动项的行为怎么也不拦截呢？

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
16日更新：
实机中运行






至于病毒样本写入的那个启动项的拦截，正奇说会在下一个版本解决。据说注册表的防御将会有较大的改动。


虚拟机中运行还是不拦截啊（昨天是在虚拟机上运行的）。



晕死了，再次运行，又拦截了。貌似在实机中每次都是拦截的。而虚拟机中是概率性的。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

测试了好几次，貌似是进入桌面比较长的一段时间后行为防御才生效，虽然之前已连接入云安全中心。其实这个也能解释实机中为什么能拦截，因为我实机开机已很长时间了。

byxxdrls

今天的云确实乱了，某个病毒生成物开始未报，我上传到毒霸论坛。过了一个小时后我下载，下载保护提示是病毒，但右键扫描报“安全”，解压后扫描也是安全。

晕死了

堕落爱国者

金山的云...貌似又是会抽风...希望这仅仅是个别现象

yhys

晕，加个壳就转人工鉴定。

xlmysjz

金山的云 稳定性 是个问题啊

xp-AntiSpy

金山的云有时会抽风啊

wuyongliang

抽筋是正常 的， 金山该说了 太忙了  你一边等会，  哈哈   开玩笑 。 娱乐下

z13667152750

果然像某人说的，加个壳就转人工鉴定了！
不知道金山的云鉴定是怎么搞的，按理说，即使金山云引擎脱壳不怎么样，只要云端有个虚拟机就搞定了！又没有反虚拟机处理。

郑伟用户

已经反馈给程虎了

hzqedison

回复 2楼 byxxdrls 的帖子

这个问题在解决中。