123   1  /  3  页   跳转

[其它] 用户从隔离区恢复的文件自动加入白名单

用户从隔离区恢复的文件自动加入白名单

http://bbs.ikaka.com/showtopic-9261620.aspx这个贴子说的“同一文件,V16+有时报毒,有时又不报”的问题,严格来说,按照该帖叙述的操作来说,这其实不应算是V16+的bug。
为啥?因为你自己认为是误杀了,所以才从隔离区恢复。是这个理儿吧?

这里要强调的是,不管是不是真的误杀,只要用户将V16+灭掉的文件从隔离区恢复(不管你恢复到哪里),V16+一律将其自动加入白名单。
我刚才拿一个真正的病毒,按照http://bbs.ikaka.com/showtopic-9261620.aspx这个帖子的操作做了一遍,然后,在V16+所有监控全开的条件下,双击此.exe,病毒运行很流畅,V16+不报任何信息。这点不能怪V16+哦。
具体操作环境:XPSP3,True Image虚拟环境。双击从隔离区恢复的病毒,然后重启。
结果见截图:
1、重启后CAHIPS检测到的病毒活动:

 附件: 您所在的用户组无法下载或查看附件

2、病毒进程、病毒释放的文件及重启后用V16+快扫的结果:


 附件: 您所在的用户组无法下载或查看附件

3、病毒改动的注册表信息:


 附件: 您所在的用户组无法下载或查看附件

4、被恢复的病毒文件自动进入V16+的白名单:

 附件: 您所在的用户组无法下载或查看附件

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.3)
最后编辑baohe 最后编辑于 2013-11-12 17:11:54
分享到:
gototop
 

回复 1F baohe 的帖子

白名单那项默认是勾选的 ,猫叔把v16+不报毒样本压缩发来吧。
gototop
 

回复: 用户从隔离区恢复的文件自动加入白名单



引用:
原帖由 networkedition 于 2013-11-12 17:19:00 发表
白名单那项默认是勾选的 ,猫叔把v16+不报毒样本压缩发来吧。

神马“不报的样本”?
我实验用的这个样本V16+报哦
gototop
 

回复 3F baohe 的帖子

病毒释放的样本
gototop
 

回复: 用户从隔离区恢复的文件自动加入白名单



引用:
原帖由 networkedition 于 2013-11-12 17:24:00 发表
病毒释放的样本 
这......有意义吗?

1、此毒在“白名单”身份状态下运行了。
2、此毒有驱动加载。在“合法”身份下释放加载的病毒驱动可能干扰重启后的查杀结果哦。
3、从那驱动的名称及释放的这些病毒文件来看,我觉得是个老毒哦。
gototop
 

回复: 用户从隔离区恢复的文件自动加入白名单



引用:
原帖由 networkedition 于 2013-11-12 17:24:00 发表
病毒释放的样本 


拿去吧
貌似不是啥新鲜货哦


 附件: 您所在的用户组无法下载或查看附件
gototop
 

回复:用户从隔离区恢复的文件自动加入白名单

只能说,我大概理解了猫叔的意思,不过暂时还有点拐不过弯。
是不是说不管有没有白名单,瑞星都不应该放过威胁系统安全的行为?

另外,我那个帖子的测试过程是基于白名单清空的前提下做的。
最后编辑panchengwei 最后编辑于 2013-11-12 18:02:31
gototop
 

回复:用户从隔离区恢复的文件自动加入白名单

从隔离区恢复时,加入白名单这一项就是默认选择了的。所以在白名单列表中同路径、同文件名的文件运行,瑞星是不再管的了。
             
gototop
 

回复: 用户从隔离区恢复的文件自动加入白名单



引用:
原帖由 panchengwei 于 2013-11-12 17:58:00 发表
只能说,我大概理解了猫叔的意思,不过暂时还有点拐不过弯。
是不是说不管有没有白名单,瑞星都不应该放过威胁系统安全的行为?

另外,我那个帖子的测试过程是基于白名单清空的前提下做的。

完全按照你那帖子的叙述操作:
1、解压病毒样本,V16+灭掉样本。
2、从隔离区恢复被灭掉的病毒文件。
3、打开白名单设置,删除自动加白信息。
4、双击病毒程序。
5、待病毒程序完全运行后,重启。
gototop
 

回复 9F baohe 的帖子

v16+文件监控没反应啊
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT