让程序判断自身是否在火眼中运行的方法

ioshx

原理其实很简单，就是检测火眼系统相对于正常系统所特有的文件。
作为新人我不是很懂，有错误、弱智或者违规的地方请老鸟们指出，谢谢。
首先利用火眼的一个缺陷可以获取火眼的文件列表
先看一个示例,只有两行代码

1. cd\
   
2. del /f /a /q *

复制代码

保存为.bat然后扔到火眼上。结果如下:http://fireeye.ijinshan.com/anal ... 44706e8b&type=1
这是另一份，代码完全一样，不过加了一些空格 http://fireeye.ijinshan.com/anal ... 134&type=1#full


从中可以看出火眼的系统其实是XP(版本和SP我看不出来)并且装了DirectX、QQ、WinRAR、Flash 应该是为了模拟日常环境。
奇怪的是两份都没有Windows文件夹？....

然后可以看到它C盘根目录有一些奇葩的文件..(可用浏览器的页内搜索“C:\”)



但是显然这份列表不完全，也有很多垃圾
现在我们只要针对性地提取C盘根目录下的文件就好了。
代码去掉 /s 就好了

1. cd\
   
2. del /f /a /q *

复制代码

结果http://fireeye.ijinshan.com/anal ... 93cc84bb&type=1
重点部分如图

额，高亮那些肯定是的，划线的我忘记了(很久没用XP了)。划线的这里就跳过
其实他们有点粗心啊。
其他目录里肯定还会有很多特征文件，我懒嘛，而且这几个也够用了。其他的就等各位高手去找了。
接下来怎么做就很明了了
在程序里加上判断特征文件是否存在的代码，如果存在就表示自身在火眼内部运行，就不运行(潜在的)恶意代码。
直观起见，我也上传了一个示例，是AutoHotKey脚本(Bat的相关命令忘了 ...)
代码懒得看的可以跳过，不影响的

1. #NoEnv
   
2. #KeyHistory 0
   
3. SetBatchLines -1
   
4. SendMode Input
   
5. SetWorkingDir c:\      ;这边往上的都是废话，无视掉
   
6. 
   
7. a := 0      ;用于记录特征文件的累加器
   
8. IfExist C:\explorer.exe     ;判断特征文件是否存在
   
9.         a += 1        
   
10. IfExist c:\calc.exe
    
11.         a += 2
    
12. IfExist c:\*.html
    
13.         a += 4
    
14. IfExist C:\update.zip
    
15.         a += 8
    
16. IfExist C:\help.htm
    
17.         a += 16
    
18. IfExist C:\新建文件夹.rar
    
19.         a += 32
    
20. FileAppend %a% , %a%.sys    ;输出结果，新建一个以a变量的值为名字的sys文件
    
21. FileSetAttrib +RHS , %a%.sys     ;给它加 只读、隐藏、系统 属性
    
22.                                             ;这是为了让火眼报警并显示出来
    
23. IfNotEqual a,0   ;如果存在特征文件，就表明实在火眼中运行
    
24. {
    
25. FileAppend aaaaaa,Im_Running_In_FireEye.sys      ;生成一个表明自己在火眼里的文件
    
26. FileSetAttrib +RHS ,Im_Running_In_FireEye.sys
    
27. }
    
28. else ;若a=0则表示自身不在火眼里运行
    
29. {
    
30. FileAppend aaaaaa,Im_NOT_In_FireEye.sys    ;输出另一个消息文件
    
31. FileSetAttrib +RHS , Im_NOT_In_FireEye.sys
    
32. }
    
33. ExitApp    ;退出

复制代码

通过注释应该能看懂的吧....
编译为exe传上去
结果:http://fireeye.ijinshan.com/anal ... 4ea&type=1#full
附上"输出部分"的截图

这里的63=1+2+4+8+16+32 表示6个高亮的特征文件全部都能检测到
这是编译好的exe。出于安全，对于任何新人的文件，请谨慎运行，最好在虚拟机或沙盘里.
另外可以通过MD5和SHA1比对确认这个文件就是我扔到火眼上那个
由于文件有278KB...大于我传到论坛的附件权限 所以扔到百度盘了。至于好压的分卷.....还是算了

解压密码  kafan   http://pan.baidu.com/share/link? ... 27&uk=167822807

运行好后C盘根目录如果有“0.sys” 和 “Im_NOT_In_FireEye.sys ”   两个文件就表示成功了。

------------------------------------------结束了-------------------------------
就像开头说的，这个方法原理很简单，但是却是火眼很难防住的。
我想说的是，用这种方法，并且改进一下，可以获得火眼所有文件的全部信息。
如果病毒用隐藏的很深并且是火眼运行所必须的特征文件，或者其他特征(注册表什么的)，那么火眼的效力就大大降低了。
不过火眼如果直接监视病毒扫描特征文件的动作的话应该会比较好防。

当然用户也可以通过在自己系统里创建特征文件来避免病毒，另一方面病毒也可以通过HASH来鉴定文件的真假


我不知道这个方法是不是在卡饭已经是常识了.....(应该不是吧?)
但还是希望各位坛友在对待火眼报告的时候能多一份警惕之心。

大金鱼先生

ioshx 发表于 2013-7-26 12:19
可能如果不被大范围利用他们就不会修复

http://bbs.kafan.cn/thread-1357172-1-1.html

844416405

火眼用户并不多 我觉得不会有病毒针对火眼的 过杀软就够麻烦的了……

ioshx

844416405 发表于 2013-7-24 22:30
火眼用户并不多 我觉得不会有病毒针对火眼的 过杀软就够麻烦的了……

我是今天无聊的时候发现的，发上来探讨一下。  而且卡饭里用的人应该很多吧
而且过火眼的代码会很短、且几乎不会报毒。

15810717418

也不错嘛，普通用户在C盘放这些文件，就可以免疫病毒了。

大金鱼先生

晕，类似方法半年前我给干过不过没LZ那么细心···不会还没修复吧

ioshx

大金鱼先生 发表于 2013-7-26 12:17
晕，类似方法半年前我给干过不过没LZ那么细心···不会还没修复吧

可能如果不被大范围利用他们就不会修复

ioshx

大金鱼先生 发表于 2013-7-26 12:48
http://bbs.kafan.cn/thread-1357172-1-1.html

看来我火星了啊。 学习了
你那些火眼里的截图被删掉了
程序行为也不见了。看来他们不是一点动作都没

大金鱼先生

ioshx 发表于 2013-7-26 12:52
看来我火星了啊。 学习了
你那些火眼里的截图被删掉了

貌似他们后来把截图屏蔽了···

Palkia

这个不是什么大问题，毕竟防御体系里又不是只有火眼，更不是主要依靠火眼。

整个防御系统都是互补的。这样最多就是干扰一下想用火眼的用户的判断，但是实际上本地毒霸还有hips等防御，过了整个防御系统才有意义。