查看: 3894|回复: 23
收起左侧

[讨论] 第一次知道网盾、主防、保镖之间的联动,以及对该样本主防2.0防御效果的质疑,期待3.0

  [复制链接]
leisong
发表于 2012-2-14 14:30:08 | 显示全部楼层 |阅读模式
本帖最后由 leisong 于 2012-2-14 14:49 编辑

利用白文件加载病毒DLL真是防不胜防,http://bbs.kafan.cn/thread-1223288-1-1.html,此帖中的样本,修改那个DLL文件后需要重新下载、解压、运行一系列的动作网购保镖和主防才拦截(需要关闭云QVM测试)。防御逻辑也是有道理的,因为网购木马确实需要下载或传输才得来。我们讨论的是另一个问题,拦截就真的防住了么?

保镖拦截,拦截的是未知DLL,第一次见到,很精彩,注意要和网盾的下载保护联动才有如此强度的拦截,第一次见到


为测试主防,先保镖放行,主防拦截



拦截后残余进程如下——这是360主防一直以来的老问题了,其实也是HIPS单步拦截的特点。


我们再看下所拦截的启动项是什么,就是被利用的好压白文件复制过去的同一个文件


再看该EXE运行后加载的DLL文件,就是那个病毒DLL同一个文件复制过去的。


也就是说病毒的启动项如果没拦截的话,下次开机所启动的病毒DLL文件和残余进程中的DLL是同一个,也是真正发挥病毒作用的程序——主防拦截后一直残留在内存中,也就是说病毒实际也不是太需要自启动了,只要发挥一次作用就行了,依用户实际操作逻辑,从接受文件到被骗子引导操作网银或需要盗号的软件,一般都在重启电脑之前,那么接下来病毒真正的盗号行为或劫持网银支付行为360 2.0主防真的可以拦截么?2.0主防其实没有防键盘记录,防网银支付劫持据测试也很有限,所以防御效果很悬,供大家参考!

那么强烈期待主防3.0能有更精彩的表现!期待中。。。。。。。。。。。。。。。。。。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
-oAo-
发表于 2012-2-14 14:35:51 | 显示全部楼层
担心有道理
leisong
 楼主| 发表于 2012-2-14 14:39:25 | 显示全部楼层
-oAo- 发表于 2012-2-14 14:35
担心有道理

是嘛。我以为担心某个对新型威胁早已无力更新的主防更有道理的说。
因为主防也是需要应对新型攻击方式而更新的,就如利用白文件加载病毒DLL的攻击方式。
几年不更新的主防你认为真的还有用。
Tron
头像被屏蔽
发表于 2012-2-14 14:39:39 | 显示全部楼层
主防拦截一直残留在内存中,也就是说病毒实际也不是太需要自启动了,只要发挥一次作用就行了

===

这个不用担心,网盾有依靠主防的网页防劫持技术,可以拦截

另外,如果用户是先接受到木马,再运行,再进行网购,此时网购模式就直接把这个实物图清除掉了。
huyu8609
发表于 2012-2-14 14:43:15 | 显示全部楼层
Tron 发表于 2012-2-14 14:39
主防拦截一直残留在内存中,也就是说病毒实际也不是太需要自启动了,只要发挥一次作用就行了

===

情人节 快乐   ,感谢解答!
leisong
 楼主| 发表于 2012-2-14 14:44:08 | 显示全部楼层
Tron 发表于 2012-2-14 14:39
主防拦截一直残留在内存中,也就是说病毒实际也不是太需要自启动了,只要发挥一次作用就行了

===

确实可以

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
-oAo-
发表于 2012-2-14 14:44:10 | 显示全部楼层
leisong 发表于 2012-2-14 14:39
是嘛。我以为担心某个对新型威胁早已无力更新的主防更有道理的说。
因为主防也是需要应对新型攻击方式而 ...

杀软和病毒是矛盾中发展的
billgates1996
发表于 2012-2-14 14:45:49 | 显示全部楼层
leisong伯伯

评分

参与人数 1经验 -2 收起 理由
笙儿 -2 版区不是水区,请谨记!抱歉,无意义回复。

查看全部评分

leisong
 楼主| 发表于 2012-2-14 14:47:06 | 显示全部楼层
本帖最后由 leisong 于 2012-2-14 14:48 编辑
-oAo- 发表于 2012-2-14 14:44
杀软和病毒是矛盾中发展的


是啊。居然你也明白这个道理。安软和病毒总是在互相攻防中不断进步的,主防也不例外,只是主防相对于特征码相对的以静制动,但不是绝对的几年不更新还可以以静制动。
所以光病毒在发展,安软(含主防类)如果静止不动,早被病毒抛到九霄云外去了。
-oAo-
发表于 2012-2-14 14:51:15 | 显示全部楼层
leisong 发表于 2012-2-14 14:47
是啊。居然你也明白这个道理。安软和病毒总是在互相攻防中不断进步的,主防也不例外,只是主防相对于特 ...

安软也不会原地踏步的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 21:48 , Processed in 0.136355 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表