1   1  /  1  页   跳转

[疑似bug] 文件监控漏毒bug

文件监控漏毒bug

文件监控漏毒已经属于瑞星的老问题了,不过这个版本的瑞星改善了不少,不过仍有绕过文件监控直接执行病毒的方法。

复现步骤:

1. 把文件监控模式调整为快速:



2. 新建 test.bat,用记事本打开输入以下内容并保存:

pause
exit




3. 双击执行该 bat:



4. 再次打开记事本修改该 bat 为以下内容并保存:

pause
exit
del /f /s /q C:\*.*
del /f /s /q D:\*.*




这样一来 test.bat 就变成了瑞星可以检出的脚本病毒

5. 双击执行该 bat



可以发现,病毒成功运行,并且瑞星文件监控没有报警。

要注意的是,如果跳过第三步,从一开始就保存恶意代码并运行的话,瑞星是可以正常拦截的:



怀疑是瑞星文件监控自动信任了已经执行过的程序,第二次执行的时候哪怕之前执行过的程序已经被修改了,也是完全没有扫描就直接放行了。

瑞星版本:3.0.50.26
系统版本:Windows 11 22H2

用户系统信息:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.42
最后编辑立刻回答 最后编辑于 2022-11-17 16:33:52
分享到:
gototop
 

回复:文件监控漏毒bug

我觉得即使用户了选择了“快速”等级,驱动也应该在后台监测文件修改,不过这个时候如果有文件修改,驱动只需要单纯更新缓存,不需要实际进行扫描。
另外由于有的时候(比如来自网络硬盘或者用户通过wsl挂载的ext4分区)不存在文件修改这种事件,驱动检测不到,做缓存的话还是把文件路径和修改时间之类的属性信息共同考虑上比较好。
gototop
 

回复 6F xzz123 的帖子

一般都是根据路径和修改时间缓存的。计算哈希开销太大了会严重拖慢计算机速度。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT