瑞星卡卡安全论坛
baohe - 2013-11-12 17:09:00
http://bbs.ikaka.com/showtopic-9261620.aspx这个贴子说的“同一文件,V16+有时报毒,有时又不报”的问题,严格来说,按照该帖叙述的操作来说,这其实不应算是V16+的bug。
为啥?因为你自己认为是误杀了,所以才从隔离区恢复。是这个理儿吧?
这里要强调的是,不管是不是真的误杀,只要用户将V16+灭掉的文件从隔离区恢复(不管你恢复到哪里),V16+一律将其自动加入白名单。
我刚才拿一个真正的病毒,按照
http://bbs.ikaka.com/showtopic-9261620.aspx这个帖子的操作做了一遍,然后,在V16+所有监控全开的条件下,双击此.exe,病毒运行很流畅,V16+不报任何信息。这点不能怪V16+哦。
具体操作环境:XPSP3,True Image虚拟环境。双击从隔离区恢复的病毒,然后重启。
结果见截图:
1、重启后CAHIPS检测到的病毒活动:
附件:
您所在的用户组无法下载或查看附件2、病毒进程、病毒释放的文件及重启后用V16+快扫的结果:
附件:
您所在的用户组无法下载或查看附件3、病毒改动的注册表信息:
附件:
您所在的用户组无法下载或查看附件4、被恢复的病毒文件自动进入V16+的白名单:
附件:
您所在的用户组无法下载或查看附件用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.3)
networkedition - 2013-11-12 17:19:00
白名单那项默认是勾选的:kaka6: ,猫叔把v16+不报毒样本压缩发来吧。
baohe - 2013-11-12 17:20:00
原帖由 networkedition 于 2013-11-12 17:19:00 发表
白名单那项默认是勾选的:kaka6: ,猫叔把v16+不报毒样本压缩发来吧。
神马“不报的样本”?
我实验用的这个样本V16+报哦
networkedition - 2013-11-12 17:24:00
病毒释放的样本:kaka12:
baohe - 2013-11-12 17:28:00
原帖由 networkedition 于 2013-11-12 17:24:00 发表
病毒释放的样本:kaka12:
这......有意义吗?
1、此毒在“白名单”身份状态下运行了。
2、此毒有驱动加载。在“合法”身份下释放加载的病毒驱动可能干扰重启后的查杀结果哦。
3、从那驱动的名称及释放的这些病毒文件来看,我觉得是个老毒哦。
baohe - 2013-11-12 17:34:00
原帖由 networkedition 于 2013-11-12 17:24:00 发表
病毒释放的样本:kaka12:
拿去吧
貌似不是啥新鲜货哦
附件:
您所在的用户组无法下载或查看附件
panchengwei - 2013-11-12 17:58:00
只能说,我大概理解了猫叔的意思,不过暂时还有点拐不过弯。
是不是说不管有没有白名单,瑞星都不应该放过威胁系统安全的行为?
另外,我那个帖子的测试过程是基于白名单清空的前提下做的。
virusmaster - 2013-11-13 8:03:00
从隔离区恢复时,加入白名单这一项就是默认选择了的。所以在白名单列表中同路径、同文件名的文件运行,瑞星是不再管的了。
baohe - 2013-11-13 9:51:00
原帖由 panchengwei 于 2013-11-12 17:58:00 发表
只能说,我大概理解了猫叔的意思,不过暂时还有点拐不过弯。
是不是说不管有没有白名单,瑞星都不应该放过威胁系统安全的行为?
另外,我那个帖子的测试过程是基于白名单清空的前提下做的。
完全按照你那帖子的叙述操作:
1、解压病毒样本,V16+灭掉样本。
2、从隔离区恢复被灭掉的病毒文件。
3、打开白名单设置,删除自动加白信息。
4、双击病毒程序。
5、待病毒程序完全运行后,重启。
networkedition - 2013-11-13 9:54:00
v16+文件监控没反应啊:kaka6:
networkedition - 2013-11-13 9:56:00
样本已收集。
baohe - 2013-11-13 10:17:00
原帖由 networkedition 于 2013-11-13 9:54:00 发表
v16+文件监控没反应啊:kaka6:
附件:
您所在的用户组无法下载或查看附件
networkedition - 2013-11-13 10:29:00
那个是开启病毒白名单后,扫描和监控都不起作用了。
panchengwei - 2013-11-13 11:50:00
猫叔,也就是说白名单被清空的情况下,你顺利运行病毒样本了,而且它还释放了新样本?
baohe - 2013-11-13 13:35:00
是滴
tom2000 - 2013-11-13 13:49:00
正好相反吧!
我理解自动加白只是 查杀加白 即 蓝色闪电图标
而监控还是灰的就是说 监控理论上还报!这个是无法自动加白的
造成这种问题就是 瑞星监控的只是一个流行病毒库 猫叔的样本正好不在监控的范围内.
其实这个解决办法很简单,就是瑞星默认时去掉自动加白!毕竟对于绝大多数用户来说这个默认设置太危险
天月来了 - 2013-11-13 14:17:00
哪个工程师想出的这逻辑哟
从隔离区恢复的文件自动加入白名单:kaka8:
普通用户,就是那种连开机都不会的用户
一旦哪天开始摸索学会从隔离区恢复文件,那么操作恢复后,进入白名单后的文件,这玩意还自动监控那能自动监监么?
不能的话,普通用户是会自做聪明的去双击恢复出来的文件打开看看滴的!!!!
例如那个全盘文件加密的病毒,它是以邮件发给用户的,用户打开邮件的第一步你瑞星隔离了,但是用户因为好奇会隔离区恢复出来继续双击打开看看的。
:kaka6:
tom2000 - 2013-11-13 14:25:00
这个加白 确实有讨论的空间 现在这个时候是引擎调教 对于高端用户误报上报非常有好处
但是后期对普通用户 其实增加了安全风险 因为一般用户是相信安全软件的 它们也没有能力甄别误报,所以就是 报!---杀!!! 基本不存在回滚操作.!
猫叔 天月 你们还是来特邀嘉宾群吧!这里面可以跟研发攻城狮直接交流,我感觉这种问题在群里直接交流会方便很多!
tom2000 - 2013-11-13 14:37:00
[img]1[/img]
默认把这个去了 就OK了
附件:
QQ图片20131113143159.jpg
baohe - 2013-11-13 14:37:00
原帖由 tom2000 于 2013-11-13 13:49:00 发表
我理解自动加白只是 查杀加白 即 蓝色闪电图标
我彻底晕菜。:kaka6:
这种设计比较奇葩。
按一般常人理解:活动的项目————彩色显示;不活动的项目————灰色(或黑色)显示。
tom2000 - 2013-11-13 14:44:00
你仔细看 有文字提示的
networkedition - 2013-11-13 16:22:00
附件样本不是病毒。
baohe - 2013-11-13 16:31:00
这几个文件很诡异。我昨天也发现这现象了:脱离母体之后,这些倒霉孩子都被洗白白了(多引擎扫描只有一家报毒)。
panchengwei - 2013-11-13 18:24:00
我也是这么理解的
panchengwei - 2013-11-13 18:26:00
其实我第一次看提示就没有看明白:kaka6:
1
© 2000 - 2024 Rising Corp. Ltd.