从360卫士主防特点到过主防的构想！

landseer20

     随着360卫士的不断发展完善及全民普及，可以说360卫士主防现在基本上算是木马盛行的最大阻力了。要想攻克它，必须先了解360主防的特点，下面就这个问题，说说本人一点体会。
     360卫士的主防，官方定义为“云主防”。那么什么是“云主防”？根据我的体会，可以吧360主防看成是一个特殊的3D-HIPS，即：AD,FD,RD,及MD5云验证。
     谈到HIPS，我们就想到了“规则”。一般这样的规则分为两大类，一是全盘禁止或提示+局部放行；二是全盘放行+局部禁止或提示。因为用户计算机基础高低不等，考虑到易用性及弹窗，360卫士采用的就是全盘放行+局部禁止和提示，这样可以减少提示和与其他软件冲突的情况，但同时就降低了它防御的全面性。比如：
     文件防御（FD）：从一些测试可以看出360主防主要是：1.“启动”或“start”文件夹禁止写入，修改，及删除；2.“system”目录禁止修改及删除；3.驱动目录禁止写入、修改及删除；4.“360safe”文件夹和360驱动文件禁止写入、删除、修改；5.一些关键的系统文件等等，大家可以测试验证。
     注册表防御（RD）：1.360相关的注册表项和值禁止修改、删除。（有一个例外，有兴趣的可以自己找，可以利用）；2.和自启动项相关的，基本上禁止修改，添加（可以试着找找遗漏的）；3.镜像劫持相关禁止修改、添加；4.和服务相关的禁止添加和修改；5.其他：桌面屏保，输入法、驱动相关、文件关联的等等。
     应用程序防御（AD）：一些系统相关的程序如explorer.exe等做了一定的限制。
     但仅仅这样还不够，弹窗依然很多，于是加入了“云MD5”验证。文件运行时，360卫士即将文件的MD5发送给360服务器，把经过云验证的文件分为3类：1.白名单：即可信任的文件，如正版QQ、迅雷等；2.黑名单：已经确认入库的木马、病毒、木马工具等；3.未知文件，即未入库的文件。如果是白名单类直接提升安全并放行；如果是黑名单类，直接提示木马、风险并阻止运行，建议删除操作；3：如果是未知文件类，这就走HIPS这条线路，有上面的3D行为的话就提示。
     断网情况下，为避免频繁弹窗导致用户不满，360主防默认大部分HIPS防御放行，仅仅部分非常危险的提示。
     从上述不难看出360“云主防”，其实是有局限性的。
     突破的思路，我大致说一下：
     第一，从“3D规则”突破, 360卫士采用的全盘放行+局部禁止和提示的防御不全面性,本身就存在着一定的缺陷，免杀的感染性木马和DLL劫持木马就是最好的说明。寻找“规则”的漏洞，进而过“云主防”，是最常见的方法。
     第二，从“联网”突破，可以直接或间接的断网或拦截，这样大部分HIPS防御放行，所以有木马因为断网可以过掉主防。
     第三，从“md5云验证”突破，几年前已经有人证明了md5值并不是唯一的。2个文件可以有相同的md5值，这就意味着木马可以伪装成360白名单的文件，进而通过主防。
     第四，从API函数突破，寻找未被拦截行为的API函数，进而应用在木马上以达到突破的目的。
     第五，从“社会工程学”突破，比如：“要运行某某外{过}{滤}挂，必须关闭或卸载360。”
     第六，从系统内核或360本身突破，某些大牛们常干的事。
     。。。。。。
     金山、腾讯之类的就不多说了，玩木马的都知道。
     以上仅个人观点，不足或不对之处请多多包涵，并指出不足不对之处，不甚感激。（想发个原创但不知道算不算是，哎。。。）

     我想大家不要纠结于弹窗的问题，一个HIPS类得软件弹窗是正常的。
     用户用上常规的正版软件，怎会遇到360弹窗问题呢！
     另外，写这篇文章重点不是怎么过360，而是让更多人知道360这类的软件主防是怎么一回事！充分的认识它，才能更好的使用它。
     否则我也不会在这里写这篇文章。我本人也是一直使用360卫士的,无论是3Q大战时期还是现在，因为我坚信它会做的更好，走的更远。

BHHZDQL

1.出现漏洞MJ多次在数小时内修复
2.MJ的本地主动防御有一定消息
3.很无语，你知道这个MD5几率多少？
4.同1
5.360会提示的,会用电脑的都不会关
6.要么微软修复要么同1，再说这跟系统提权漏洞没有关系

BHHZDQL

你要在360卫士7.0找漏洞还差不多，现在漏洞基本被修复了吧

陌染淡殇

是来学习的

baerzake

根本不需要找什么漏洞，只要看看有多少人真正能看懂主防的提示就知道再强强不过用户的鼠标。此处主防并未特指任一软件，请想口水的绕道。

jefffire

突破方向都对了。

jefffire

baerzake 发表于 2011-6-20 19:36
根本不需要找什么漏洞，只要看看有多少人真正能看懂主防的提示就知道再强强不过用户的鼠标。此处主防并未特 ...

如果是发现一个完全不懂的弹框，点确定的可能在50%，点叉的可能在30%，剩下20%的是点取消。如果是相对明确的提示，点确定的可能在90%左右。这是根据我在学校图书馆机房不定期观察的结果。

z13667152750

baerzake 发表于 2011-6-20 19:36
根本不需要找什么漏洞，只要看看有多少人真正能看懂主防的提示就知道再强强不过用户的鼠标。此处主防并未特 ...

用户直接点确认就行了

按照默认提示选择

镜湖

baerzake 发表于 2011-6-20 19:36
根本不需要找什么漏洞，只要看看有多少人真正能看懂主防的提示就知道再强强不过用户的鼠标。此处主防并未特 ...

说的很对

http://bbs.kafan.cn/thread-1007344-1-1.html

镜湖

z13667152750 发表于 2011-6-20 19:43
用户直接点确认就行了

按照默认提示选择

事情没你想得那么简单哦

http://bbs.kafan.cn/thread-1007344-1-1.html