6.1日瑞星未报样本二次测试

显示全部楼层 · 发表于 2011-6-2 12:20:35

本帖最后由 baerzake 于 2011-6-2 12:30 编辑

首先未报样本见此：http://bbs.kafan.cn/forum.php?mo ... 1864&fromuid=268818

我用瑞星在虚拟机里对这几个样本重新测试，发现瑞星系统加固和木马防御都可以拦截，不知道为什么测试帖的楼主测试时没有报，这个还需要他来解释一下。这些样本基本是下载者，但也带有一些明显的动作，如果说木马防御不报还可以理解，但系统加固应该会报，所以在测试帖中楼主说未报，我怀疑是否楼主是用沙盘进行的测试，而这些样本可能有反沙盘的能力，否则说不通。

下面是截图（由于我不知道他所说的未报样本X是指的样本后面自带的数值还是按顺序排列的，因为有一个样本没有带后缀数值，所以我会对邻近两个样本都进行测试）：

样本4

样本5

样本9：系统加固拦截，木马防御未报

样本10

样本19

样本20

样本25

样本26

样本27

样本28

样本30

样本31无法运行

显示全部楼层 · 发表于 2011-6-2 12:26:41

进来支持下楼主测试

显示全部楼层 · 发表于 2011-6-2 12:48:29

本帖最后由 f176712667 于 2011-6-2 12:49 编辑

看错了

显示全部楼层 · 发表于 2011-6-2 12:49:27

我看错了当我没说/。。。

显示全部楼层 · 发表于 2011-6-2 12:53:57

这个问题有关因素：1.环境 2.疯狂的小鬼可能等的时间不够，样本没有完全运行 3.不排除主防规则升级

显示全部楼层 · 发表于 2011-6-2 13:20:50

heaven888 发表于 2011-6-2 12:53 这个问题有关因素：1.环境 2.疯狂的小鬼可能等的时间不够，样本没有完全运行 3.不排除主防规则升级

环境可能是一方面，就是沙盘，不知道他是否是在沙盘测试的，主防升级不太可能，因为我看那些动作系统加固里早就有，添加启动项，全局钩子，系统目录创建这些都有，所以他说未报我就觉得很奇怪，还是他把系统加固忽略了，只要木马防御未报就算未报？

显示全部楼层 · 发表于 2011-6-2 13:21:42

heaven888 发表于 2011-6-2 12:53 这个问题有关因素：1.环境 2.疯狂的小鬼可能等的时间不够，样本没有完全运行 3.不排除主防规则升级

环境可能是一方面，就是沙盘，不知道他是否是在沙盘测试的，主防升级不太可能，因为我看那些动作系统加固里早就有，添加启动项，全局钩子，系统目录创建这些都有，所以他说未报我就觉得很奇怪，还是他把系统加固忽略了，只要木马防御未报就算未报？

显示全部楼层 · 发表于 2011-6-2 13:22:41

另外这些样本不用等很长时间的

显示全部楼层 · 发表于 2011-6-2 13:27:15

楼主幸苦

显示全部楼层 · 发表于 2011-6-2 13:51:35

期待局长打造的星星HIPS规则

[瑞星] 6.1日瑞星未报样本二次测试

本帖子中包含更多资源

评分

看错了