简简单单反火眼，让程序在火眼上没有行为出现的小测试

显示全部楼层 · 发表于 2012-8-20 21:24:07

本帖最后由大金鱼先生于 2012-8-20 22:09 编辑

http://bbs.kafan.cn/thread-1356342-1-1.html
根据这贴得出的结论，用了个极端猥琐的方法实现了反火眼，就是程序在判断在火眼上运行时不会进行指定的动作

这个方法很猥琐，没用什么判断机器码之类的，一行代码

测试程序
1.开启反火眼的版本
这个只要检测到在火眼上就会提示，然后不会在D盘根目录下创建“火眼环境.txt”文件
如果不在火眼上，则会另一番提示并且创建文件
在火眼上运行：
http://fireeye.ijinshan.com/analyse.html?md5=619996d5e59d2fc5d3a3b5d806dd4dfe

文件操作监控中没有新增txt的内容

在本机运行：

2.关闭反火眼的版本
这个版本只是用来上传到火眼看行为与1对比，用于说明火眼是可以截获生成txt的动作的，默认生成D:\火眼环境.txt
http://fireeye.ijinshan.com/analyse.html?md5=44c2c708a6377880e0b962ffc2c201e9
很明显，文件操作监控中有新增txt的内容

结论，通过以上的对比试验，说明火眼是可以截获新增txt的行为的，但是第一个程序开启了反火眼，所以并没有生成txt的动作，而实机运行则生成了txt。如果把生成txt的代码换成恶意代码火眼也就无法截获动作导致用户误判为安全

补充一句给测试者，以上两个程序需要.net3.5才能运行

补充一句给官人，类似可以判断火眼特征的还有很多，这个是最简单的，建议治本而非治标

显示全部楼层 · 发表于 2012-8-20 21:29:30

围观猥琐的金鱼

显示全部楼层 · 发表于 2012-8-20 21:30:09

黑羽发表于 2012-8-20 21:29
围观猥琐的金鱼

围观不猥琐的黑羽妹子

显示全部楼层 · 发表于 2012-8-20 21:33:27

大金鱼先生发表于 2012-8-20 21:30
围观不猥琐的黑羽妹子

囧，我都说了我不是妹子。。。

上次那个数字查询接口悄悄告诉我，以后给每个样本加上这个反火眼=.=

显示全部楼层 · 发表于 2012-8-20 21:36:27

本帖最后由酱紫啊~ 于 2012-8-20 21:40 编辑

虽然不明白，但是好厉害啊

显示全部楼层 · 发表于 2012-8-20 21:37:06

希望能够改进啊

显示全部楼层 · 发表于 2012-8-20 21:40:46

黑羽发表于 2012-8-20 21:33
囧，我都说了我不是妹子。。。

上次那个数字查询接口悄悄告诉我，以后给每个样本加上这个反火眼=.=

数字查询接口？

显示全部楼层 · 发表于 2012-8-20 21:43:51

大金鱼先生发表于 2012-8-20 21:40
数字查询接口？

云的

显示全部楼层 · 发表于 2012-8-20 21:44:56

黑羽发表于 2012-8-20 21:43
云的

额，C#能post吗？我这边总是失败

显示全部楼层 · 发表于 2012-8-20 21:46:04

大金鱼先生发表于 2012-8-20 21:44
额，C#能post吗？我这边总是失败

我上次看到的是E写的。

[金山] 简简单单反火眼，让程序在火眼上没有行为出现的小测试

本帖子中包含更多资源

评分

评分

评分