【更新】关于“分分钟推倒360核晶”的实测报告，加入64位杀软测试

QlaqCfan

这几天看到360核晶弱爆了，看哥轻松推倒这篇文章引发了热烈讨论。

虽然反感360的现在的流氓。但是并不相信360的的技术真的如此不堪。毕竟混了这么多年。实践是检验真理的唯一标准。我本次就做个小白鼠。

所以特地下载360卫士开始实机测试。结果。。。。
---------------------------------------------------------------------------------------------------------------------------------

   配置：I7-4702MQ/GTX850M 2G-GDDR5/8G/1T HDD+64G SSD
   系统：MSDN Win7 X64 SP1 Ultimate

首先，去官网下载最新360安全卫士

这是安装包时间


安装包数字签名


sha-1效验



开启全部防护。以及核晶防护，为保证核晶正确运行，重启之后截图（Intel虚拟化早已打开）




接着，按照@kfpe23 的帖子：

调用一个64位程序，建一个大忽悠文件夹，即c:\windows\sysnative文件夹

命令提示符建立此文件夹。




文件夹建立成功且360并未弹出任何提示

按照原文所说。这个文件夹之内可以利用explorer.exe洗白任意程序且全过程无报警。那我就试试远控好了。
上一个古董CyberGate-RAT的控制端。未加壳。保证能被查杀出来。

360检测为木马（肯定的。。。）




之后我放到桌面并重命名为test.exe。用命令行copy命令，将其从桌面复制到sysnative文件夹。并运行这一木马文件




360仍无任何提示，激动人心的时刻到来了。。。。运行会不会被查杀？


咦？我擦？怎么打开了一个资源管理器界面？原来是太紧张命令打错。test.exe打成了text.exe（上图可见错误。。）


更正命令重新运行，结果。。。






我日，居然成功了。而且无任何报警。。。


查杀试试



什么鬼？检测不到？零文件？你在逗我？


火绒打开，查杀试试




也找不到！？wtf？


最终结果：运行成功。无任何报警，也检测不到。。。


小问题：远控在关闭时弹出错误讯息且无法关闭。任务管理器强制kill。但是在正常文件夹并无问题。可能是由于这是一个特殊文件夹所致。具体希望大神们予以解答。


本次实机测试结果的确让我大跌眼镜，居然全程无任何提示，成功运行。这次事件是否算作漏洞，甚至是否算作攻破核晶？希望大神解答也希望各位大神能提出更多想法。或者更多测试方案（额，双击病毒就免了吧。。。）
我会实机测试并反馈。


（笔记本电脑。日用火绒。自定义主防规则。此次测试关闭火绒下进行）

@驭龙 @wjy19800315 @pal家族 @vdmcontrol @root1605 @学雷锋做人 @kfpe23


更新：34楼原文作者kfpe23解答：

这个算绕过吧，可能不算是核晶的问题，而是说360对程序路径的获取有问题吧。不是因为程序运行不正常，所以360不管，而是360确实搞错了路径。如果搞对了路径，判断了程序的黑白灰，核晶是可以防的。

再更新：107楼ddxuchen大神解答：

其实这个原理就是：
32位的程序在64位的系统中，要访问system32目录
需要使用路径%systemroot%\sysnative才能访问到64位的system32
否则会被重定向到SysWOW64
360卫士是32位的程序，所以自然遵循此理
但是手工新建一个sysnative，32位程序去访问，就会重定向到system32
那就扫描不到这个文件夹了=_=

感谢ddxuchen，已经反馈360。

6.27更新：经坛友提醒已将此漏洞反馈给火绒。

更新：360已确认，正在处理中。火绒官方已确认，争取下一版本加入防御规则。

360和火绒我会保持关注

------------------------------------------------------64位杀软更新·分隔线-----------------------------------------------------


因为360&火绒都是32位杀软。所以会遇到64位系统重定向问题。本次我来测试一下64位杀软是否会表现的更好。


本次参测的64位杀软为萌萌哒毛豆（COMODO Antivirus）。官网下载最新安装包。升级到最新版本。


开启HIPS为安全模式。其余设置一律默认。






之后还是使用上次的远控。。。但是出了点插曲。。。。
打开我的Hacker tools文件夹之后所有的可执行文件2秒之内全部消失之后右下角出现病毒已被隔离。。。。
我的私货啊。。。。不能这么干啊


之后将文件夹设置忽略。。。将远控控制端复制到桌面并改名为test.exe（先添加忽略之后复制，再删除忽略规则。否则就是被ko。。。）
（插一句。。毛豆太狠了。。。。）


之后照着原步骤。建立c:\windows\sysnative文件夹。






毛豆并未弹出任何任何警告！（难道毛豆刚才都是纸老虎？）

之后将test.exe复制到c:\windows\sysnative文件夹。但是。。。






直接拦截并报警为木马文件！ 看来毛豆真不是盖的


但是我并不死心，选择忽略。看用explorer.exe是否能洗白。






又一次成功被拦截！


此次绕过到此完全失败，无论是复制还是运行全部被拦截

64位内核杀软的优势到此显露无疑。因为不通过重定向运行。所以完全不受虚假绕过文件夹和洗白程序的影响。成功干掉木马文件。

希望各家杀软能对此重定向漏洞展开修复。也希望能开发64位杀软来完全避开内核转换问题。其余64位杀软希望卡饭们自行测试。预计与毛豆结果相同。


更新：64位360杀毒成功拦截。远控文件无法复制也无法洗白运行。

kfpe23

这个算绕过吧，可能不算是核晶的问题，而是说360对程序路径的获取有问题吧。不是因为程序运行不正常，所以360不管，而是360确实搞错了路径。如果搞对了路径，判断了程序的黑白灰，核晶是可以防的。
其实绕过安全软件，这是很平常的东西了，这个只算其中一个普通的绕过。高手找绕过就跟地上找蚂蚁一样简单，只不过人家才不来kafan。。。但是我比较得意的是，这个绕过我觉得比较好玩，因为跟64位的路径有关，我以前都没注意到。
其他的我解答不了了，因为我不懂了。。。

ddxuchen

Tarchia 发表于 2015-6-26 14:21
不知道，我等小白只能默默观看

其实这个原理就是：
32位的程序在64位的系统中，要访问system32目录
需要使用路径%systemroot%\sysnative才能访问到64位的system32
否则会被重定向到SysWOW64
360卫士是32位的程序，所以自然遵循此理
但是手工新建一个sysnative，32位程序去访问，就会重定向到system32
那就扫描不到这个文件夹了=_=

此问题已经反馈给360官方，工程师已在处理中
我觉得可能大多数杀毒软件都有这个漏洞了
360杀毒好像不受影响
大概就是因为360杀毒有64位专版的原因吧

这里再一次的说明了
64位系统使用64位程序的重要性
很多厂商就是爱偷懒，只要32位程序能兼容就行了
而不去专门开发64位程序

QlaqCfan

二楼自占~

vm001

都不算，也都算...

沧桑浪子

这也算是小白？

pal家族

我已然成为lz大腿上的一个挂件了。。

请，宠爱阿狸吧~

ELOHIM

围观大神齐齐聚来。
顺便问一个问题，360安全卫士，为什么组策略禁用其证书依然可以双击安装？
百度就不行，腾讯也不行，唯有360可以。

驭龙

ELOHIM 发表于 2015-6-24 18:25
围观大神齐齐聚来。
顺便问一个问题，360安全卫士，为什么组策略禁用其证书依然可以双击安装？
百度就不 ...

我表示，我不是大神，只是被@了，可我不对此发表看法，因为我也是小白一枚

wjy19800315

围观一下，不发言
等大能们的舌战

ELOHIM

驭龙 发表于 2015-6-24 18:33
我表示，我不是大神，只是被@了，可我不对此发表看法，因为我也是小白一枚

私信我好吧。。

peter08

终于有人实验了，漏洞应该是存在的，修复应该也是迟早的。