查看: 25467|回复: 141
收起左侧

[讨论] 【更新】关于“分分钟推倒360核晶”的实测报告,加入64位杀软测试

  [复制链接]
QlaqCfan
发表于 2015-6-24 17:45:29 | 显示全部楼层 |阅读模式
本帖最后由 QlaqCfan 于 2015-6-28 15:16 编辑

这几天看到360核晶弱爆了,看哥轻松推倒这篇文章引发了热烈讨论。

虽然反感360的现在的流氓。但是并不相信360的的技术真的如此不堪。毕竟混了这么多年。实践是检验真理的唯一标准。我本次就做个小白鼠。

所以特地下载360卫士开始实机测试。结果。。。。

---------------------------------------------------------------------------------------------------------------------------------

   配置:I7-4702MQ/GTX850M 2G-GDDR5/8G/1T HDD+64G SSD
   系统:MSDN Win7 X64 SP1 Ultimate

首先,去官网下载最新360安全卫士

这是安装包时间


安装包数字签名


sha-1效验



开启全部防护。以及核晶防护,为保证核晶正确运行,重启之后截图(Intel虚拟化早已打开)




接着,按照@kfpe23 的帖子:
调用一个64位程序,建一个大忽悠文件夹,即c:\windows\sysnative文件夹

命令提示符建立此文件夹。




文件夹建立成功且360并未弹出任何提示

按照原文所说。这个文件夹之内可以利用explorer.exe洗白任意程序且全过程无报警。那我就试试远控好了。
上一个古董CyberGate-RAT的控制端。未加壳。保证能被查杀出来。

360检测为木马(肯定的。。。)




之后我放到桌面并重命名为test.exe。用命令行copy命令,将其从桌面复制到sysnative文件夹。并运行这一木马文件




360仍无任何提示,激动人心的时刻到来了。。。。运行会不会被查杀?


咦?我擦?怎么打开了一个资源管理器界面?原来是太紧张命令打错。test.exe打成了text.exe(上图可见错误。。)


更正命令重新运行,结果。。。






我日,居然成功。而且无任何报警。。。


查杀试试



什么鬼?检测不到?零文件?你在逗我?


火绒打开,查杀试试




也找不到!?wtf?


最终结果:运行成功。无任何报警,也检测不到。。。


小问题:远控在关闭时弹出错误讯息且无法关闭。任务管理器强制kill。但是在正常文件夹并无问题。可能是由于这是一个特殊文件夹所致。具体希望大神们予以解答。


本次实机测试结果的确让我大跌眼镜,居然全程无任何提示,成功运行这次事件是否算作漏洞,甚至是否算作攻破核晶?希望大神解答也希望各位大神能提出更多想法。或者更多测试方案(额,双击病毒就免了吧。。。)
我会实机测试并反馈。


(笔记本电脑。日用火绒。自定义主防规则。此次测试关闭火绒下进行)

@驭龙 @wjy19800315 @pal家族 @vdmcontrol @root1605 @学雷锋做人 @kfpe23


更新:34楼原文作者kfpe23解答:
这个算绕过吧,可能不算是核晶的问题,而是说360对程序路径的获取有问题吧。不是因为程序运行不正常,所以360不管,而是360确实搞错了路径。如果搞对了路径,判断了程序的黑白灰,核晶是可以防的。

再更新:107楼ddxuchen大神解答:
其实这个原理就是:
32位的程序在64位的系统中,要访问system32目录
需要使用路径%systemroot%\sysnative才能访问到64位的system32
否则会被重定向到SysWOW64
360卫士是32位的程序,所以自然遵循此理
但是手工新建一个sysnative,32位程序去访问,就会重定向到system32
那就扫描不到这个文件夹了=_=

感谢ddxuchen,已经反馈360

6.27更新:经坛友提醒已将此漏洞反馈给火绒

更新:360已确认,正在处理中。火绒官方已确认,争取下一版本加入防御规则。

360和火绒我会保持关注

------------------------------------------------------64位杀软更新·分隔线-----------------------------------------------------


因为360&火绒都是32位杀软。所以会遇到64位系统重定向问题。本次我来测试一下64位杀软是否会表现的更好


本次参测的64位杀软为萌萌哒毛豆(COMODO Antivirus)。官网下载最新安装包。升级到最新版本。


开启HIPS为安全模式。其余设置一律默认。






之后还是使用上次的远控。。。但是出了点插曲。。。。
打开我的Hacker tools文件夹之后所有的可执行文件2秒之内全部消失之后右下角出现病毒已被隔离。。。。
我的私货啊。。。。不能这么干啊


之后将文件夹设置忽略。。。将远控控制端复制到桌面并改名为test.exe(先添加忽略之后复制,再删除忽略规则。否则就是被ko。。。)
(插一句。。毛豆太狠了。。。。)


之后照着原步骤。建立c:\windows\sysnative文件夹。






毛豆并未弹出任何任何警告!(难道毛豆刚才都是纸老虎?)

之后将test.exe复制到c:\windows\sysnative文件夹。但是。。。






直接拦截并报警为木马文件! 看来毛豆真不是盖的


但是我并不死心,选择忽略。看用explorer.exe是否能洗白






又一次成功被拦截!


此次绕过到此完全失败,无论是复制还是运行全部被拦截

64位内核杀软的优势到此显露无疑。因为不通过重定向运行。所以完全不受虚假绕过文件夹和洗白程序的影响。成功干掉木马文件。

希望各家杀软能对此重定向漏洞展开修复。也希望能开发64位杀软来完全避开内核转换问题。其余64位杀软希望卡饭们自行测试。预计与毛豆结果相同。


更新:64位360杀毒成功拦截。远控文件无法复制也无法洗白运行。




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 5人气 +5 收起 理由
fqcomodo + 1 赞一个!
白露为霜 + 1 版区有你更精彩: )
wjy19800315 + 1 版区有你更精彩: )
七宝 + 1 很好
2314805817 + 1 辛苦

查看全部评分

kfpe23
头像被屏蔽
发表于 2015-6-24 21:11:45 | 显示全部楼层
这个算绕过吧,可能不算是核晶的问题,而是说360对程序路径的获取有问题吧。不是因为程序运行不正常,所以360不管,而是360确实搞错了路径。如果搞对了路径,判断了程序的黑白灰,核晶是可以防的。
其实绕过安全软件,这是很平常的东西了,这个只算其中一个普通的绕过。高手找绕过就跟地上找蚂蚁一样简单,只不过人家才不来kafan。。。但是我比较得意的是,这个绕过我觉得比较好玩,因为跟64位的路径有关,我以前都没注意到。
其他的我解答不了了,因为我不懂了。。。
ddxuchen
发表于 2015-6-26 15:01:00 | 显示全部楼层
本帖最后由 ddxuchen 于 2015-6-26 15:08 编辑
Tarchia 发表于 2015-6-26 14:21
不知道,我等小白只能默默观看


其实这个原理就是:
32位的程序在64位的系统中,要访问system32目录
需要使用路径%systemroot%\sysnative才能访问到64位的system32
否则会被重定向到SysWOW64
360卫士是32位的程序,所以自然遵循此理
但是手工新建一个sysnative,32位程序去访问,就会重定向到system32
那就扫描不到这个文件夹了=_=

此问题已经反馈给360官方,工程师已在处理中
我觉得可能大多数杀毒软件都有这个漏洞了
360杀毒好像不受影响
大概就是因为360杀毒有64位专版的原因吧

这里再一次的说明了
64位系统使用64位程序的重要性
很多厂商就是爱偷懒,只要32位程序能兼容就行了
而不去专门开发64位程序
QlaqCfan
 楼主| 发表于 2015-6-24 17:45:48 | 显示全部楼层
二楼自占~
vm001
发表于 2015-6-24 18:05:30 | 显示全部楼层
都不算,也都算...
沧桑浪子
发表于 2015-6-24 18:12:19 | 显示全部楼层
这也算是小白?
pal家族
发表于 2015-6-24 18:24:42 | 显示全部楼层
本帖最后由 pal家族 于 2015-6-24 18:28 编辑

我已然成为lz大腿上的一个挂件了。。

请,宠爱阿狸吧~
ELOHIM
发表于 2015-6-24 18:25:11 | 显示全部楼层
围观大神齐齐聚来。
顺便问一个问题,360安全卫士,为什么组策略禁用其证书依然可以双击安装?
百度就不行,腾讯也不行,唯有360可以。
驭龙
发表于 2015-6-24 18:33:26 | 显示全部楼层
ELOHIM 发表于 2015-6-24 18:25
围观大神齐齐聚来。
顺便问一个问题,360安全卫士,为什么组策略禁用其证书依然可以双击安装?
百度就不 ...

我表示,我不是大神,只是被@了,可我不对此发表看法,因为我也是小白一枚
wjy19800315
发表于 2015-6-24 18:37:06 | 显示全部楼层
本帖最后由 wjy19800315 于 2015-6-24 18:40 编辑


围观一下,不发言
等大能们的舌战
ELOHIM
发表于 2015-6-24 19:02:36 | 显示全部楼层
驭龙 发表于 2015-6-24 18:33
我表示,我不是大神,只是被@了,可我不对此发表看法,因为我也是小白一枚


私信我好吧。。
peter08
发表于 2015-6-24 19:11:11 | 显示全部楼层
终于有人实验了,漏洞应该是存在的,修复应该也是迟早的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:47 , Processed in 0.135669 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表