喷叔我来吐槽下，核晶都被推倒快两年了。。。

显示全部楼层 · 发表于 2017-4-30 23:27:05

本帖最后由 kfne12 于 2017-5-2 21:28 编辑

好像是2015年的时候，喷叔我发了个贴子说怎样推倒核晶。
其实那帖子是个标题党，跟核晶貌似没啥关系，就是个雕虫小技通过win64文件重定向的特性让360卫士对木马文件扫不到。

最近我闲的无事，就又重新试了下这个，结果居然还能用。

现在360的情况就是在主动防御上，路径还是得不到，只是对于两个忽悠文件夹，防了其中一个。两个忽悠文件夹，360一个阻止创建，一个(lastgood\system32)不管，所以创建个lastgood\test，丢个文件进去，再把test重命名为system32就OK了。

当然了，这个来过主动防御什么的其实没什么意思,~~关键是扫描的话现在还扫描不到啊。这两个文件夹卫士现在扫描起来还都是0文件，够蛋疼的~~。更新：我测试不全。
5月2号，我全面测试了下，应该是对PE格式的能扫到，对其他格式的扫不到。cmd脚本啊,lnk快捷方式啊,swf漏洞样本啊,rar压缩包啊，都扫不到。。。

我机子上有
1.bat
6s.com
exp1.swf
test2.lnk
test.rar
5个样本。
这5个样本正常情况都能被360扫出，
只有6s.com是个PE文件。
现在放到特殊文件夹里，只有一个6s.com扫的出，其他四个都没反应。。。。
如果说360真的处理过这个问题，那处理的也有点写意了。

而且主动防御方面也是拦不住，只是禁止创建两个特殊文件夹中的其中一个，另一个不管，没什么用的说。

显示全部楼层 · 发表于 2017-5-1 10:11:58

能不能防没关系，小白是看不懂你说的。

显示全部楼层 · 发表于 2017-5-1 11:33:46

本地试了下，您说的这2个文件夹扫描正常.

显示全部楼层 · 发表于 2017-5-1 11:34:19

本帖最后由 360主动防御于 2017-5-1 12:08 编辑

本地试了下，您说的这2个文件夹扫描正常.

显示全部楼层 · 发表于 2017-5-1 12:36:32

360主动防御发表于 2017-5-1 11:34
本地试了下，您说的这2个文件夹扫描正常.

亲，要64位系统啊。
一个是c:\windows\sysnative
一个是c:\windows\lastgood\system32

显示全部楼层 · 发表于 2017-5-1 13:15:41

本帖最后由 360主动防御于 2017-5-1 13:23 编辑

kfne12 发表于 2017-5-1 12:36
亲，要64位系统啊。
一个是c:\windows\sysnative
一个是c:\windows\lastgood\system32

我就是用64位测试的，您是说的快速扫描吗？

显示全部楼层 · 发表于 2017-5-1 13:35:04

360主动防御发表于 2017-5-1 13:15
我就是用64位测试的，您是说的快速扫描吗？

就是右键扫那两个文件夹啊。
你能扫到？

显示全部楼层 · 发表于 2017-5-1 14:02:14

刚才360工程师qq远程了下，发现只是压缩包扫描没反应，其他文件都有反应。貌似这就没什么大关系了。看来360还是处理过这个问题了，我之前测试也不全面，不好意思

显示全部楼层 · 发表于 2017-5-2 21:31:35

360主动防御发表于 2017-5-1 13:15
我就是用64位测试的，您是说的快速扫描吗？

我今天全面测试了下。还不止压缩包扫不到。

cmd脚本啊,lnk快捷方式啊,swf漏洞样本啊,rar压缩包啊，都扫不到。。。只有PE格式的能扫到。

我机子上有
1.bat
6s.com
exp1.swf
test2.lnk
test.rar
5个样本。
这5个样本正常情况都能被360扫出，
其中只有6s.com是个PE文件。
现在放到特殊文件夹里，只有一个6s.com扫的出，其他四个都没反应。。。。

等于说快两年过去了，这问题360基本没处理嘛。扫描扫不到，主防也没处理，照样拦不住。。

显示全部楼层 · 发表于 2017-5-3 16:10:04

本地测试正常，楼主提供样本我看下，多谢

[讨论] 喷叔我来吐槽下，核晶都被推倒快两年了。。。

本帖子中包含更多资源

评分

本帖子中包含更多资源