|
|
如题:不知从什么时候起,好像是呆头鹅的教程起,大牛若跟帖的话,都直接习惯性的复制粘贴这一句话以回复,即360云主防行为防御可以防御、透过云端动态拦截系统,无需拉黑,不怕免杀,全网所有版本生效,无需联动。
本小白今天特来试着解说下为何360无需拉黑、不怕免杀、无需联动。
曾记得大牛说过360对付此类样本的防御几乎都是跟着网购木马作者的脚步更新的,因为网购木马作者一旦开始研究新的有数字签名的白的exe文件,并开始利用它的加载dll文件的某些漏洞时,网购木马作者的电脑也肯定安装着最新版的360卫士,然后测试,看这次这个有数字签名的白的exe文件加载一个黑dll时,360拦不拦,当时360应该是没有拦住的,但随后,此数字签名的白的exe文件和一个安全暂时未知的dll文件(即黑dll)开始不只在网购木马作者的电脑出现,而出现在其他电脑,即开始具有传播特性时,360就应该是能直接拦了,就会直接报数字签名的白的exe文件是Trojan.Generic木马。
说到这,360防白加黑就是应该直接防了一个白加黑木马的最明显的模式,即云端一旦捕获到哪个有数字签名的白的exe文件有可能被利用时,随即云端标记了此白exe文件,然后若发现它出现在其他电脑(即开始具有传播特性时),且通过本地客户端的卫士或(360杀毒)发现此exe文件运行时,它所在的同一路径下有既不在云端白名单库又不在云端毒库(即暂时安全未知)的dll文件(或许不一定是dll后缀),且此dll文件(或许不一定是dll后缀)有被修改过的痕迹时,就直接报数字签名的白的exe文件是Trojan.Generic木马。
有人担心这样报白不报黑会不会误杀,本人认为不会,360此时报Trojan.Generic,须有两个条件,1、同一路径下有既不在云端白名单库又不在云端毒库(即暂时安全未知)的dll文件(或许不一定是dll后缀)。2、此dll文件(或许不一定是dll后缀)有被修改过的痕迹。
综上:只要云端捕获到哪个有数字签名的白的exe文件有可能被利用时,360即可防御,对于到时它传播时同一路径下是什么样的dll文件则一概不管,只要它满足安全未知和被修改过两个条件。
这样一来,就做到了,无需拉黑dll文件。dll文件若被拉黑后又被免杀的话,只要免杀后依旧是未知文件即可,这样360也不怕免杀。无需联动即应指的是就算所有边界防御被过,只要到时运行此白文件时,客户端电脑上安了卫士或360杀毒,只要云安全中心连接正常,透过云端的有可能被利用的白exe文件的标记的信息传到客户端,360即可防御。
|
评分
-
查看全部评分
|
/1 
雷达卡
UID
威望
主题
精华
贡献
墨币
活跃
担保币
发表于 2016-11-5 10:05:16
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
