查看: 2610|回复: 4
收起左侧

[交流探讨] 卡巴的受信任应用程序模式(白名单模式)是否对白加黑病毒形同虚设?

[复制链接]
王国之心00
发表于 2017-10-11 07:57:26 | 显示全部楼层 |阅读模式
在论坛看到一款14年的白加黑木马,发现白exe文件被卡巴ksn自动划分到受信任组,黑dll因被云拉黑,在入库前能否拦截黑dll不得而知。卡巴的受信任应用程序模式(白名单模式)是牺牲易用性为前提而开启的,个人认为此受信任应用程序模式(白名单模式)类似于云端白名单的单步hips,如果白加黑木马能轻易饶过,似乎开启的价值不大,现在白加黑免杀远控木马一大堆。
360截图20171011073434027.jpg
360截图20171011073559633.jpg
360截图20171011073621090.jpg
360截图20171011073626791.jpg
360截图20171011074504630.jpg

木马 (1).rar

226.65 KB, 下载次数: 103

Jerry.Lin
发表于 2017-10-11 09:06:47 | 显示全部楼层
版区推荐主题很清楚呀~

斑竹写得辛辛苦苦的你不看
Security Corridor(即行为过滤)        
       攻击者总是利用合法软件中的漏洞。这意味着,任何受信任的程序,即使它的来源可信,有合法的数字签名,也可能被网络犯罪分子用来渗透系统。为了提供一个针对此类感染情况的对策,卡巴斯基安全专家开发了“Security Corridor”模型。
       模型的基本思想是基于开发者对他们的程序的行为的严格定义。比如,Word的功能主要是处理文档,浏览器的功能是处理Web内容:下载网页,文件等。
       恶意程序努力利用应用程序中的漏洞,让程序执行一些未经登记的行为,比如修改系统文件,向系统进程注入代码,安装驱动程序等。基于这一点,卡巴斯基实验室的专家开发了几种保护机制,跟踪这些潜在的危险程序的操作,只允许程序执行它们开发商定义过的行为,其他行为一概不放行,这使利用程序中的漏洞进行恶意操作几乎不可能。用简单的话说,卡巴斯基深知一个程序该做什么,不该做什么,程序的行为在“Sexurity Corridor”中通过,只放行限制范围内的功能。
总体来看,除了传统的反病毒保护与主动防御技术,卡巴斯基受信任的程序模块有以下优点:
       •基于只启动允许程序的原则和传统的反病毒保护和主动防御技术,提供对恶意程序的有效保护。
       •严格控制流行的易受攻击的应用程序行为,防止被网络犯罪分子利用漏洞。
       •极低的误报,基于使用多层应用程序合法性验证系统。
       •一个智能化的系统,适合用户使用习惯。

http://bbs.kafan.cn/thread-2046812-1-1.html
pal家族
发表于 2017-10-11 10:24:24 | 显示全部楼层
诶诶额!
你这标题写的!
你有实验过?有结果房结果截图,结果过怎么标题像是下定论一样啊。
你简单的双击下不就知道那个dll能不能加载了?
王国之心00
 楼主| 发表于 2017-10-11 10:49:19 | 显示全部楼层
本帖最后由 王国之心00 于 2017-10-11 10:50 编辑
pal家族 发表于 2017-10-11 10:24
诶诶额!
你这标题写的!
你有实验过?有结果房结果截图,结果过怎么标题像是下定论一样啊。

14年的黑dll,卡巴报uds,一下载就把黑dll拦截了。我好奇如果uds没拉黑这病毒会不会运行成功。据原帖这病毒当时过了所有主流杀软,看到回帖中就Norton的防火墙自动识别拦截了,因为和防火墙的某一攻击规则重合。http://bbs.kafan.cn/thread-1796797-1-1.html
131547ms3sse4attolssb4.png
184513al61ll1lqalc38cs.png.thumb.jpg
pal家族
发表于 2017-10-11 10:54:14 | 显示全部楼层
本帖最后由 pal家族 于 2017-10-11 10:55 编辑
王国之心00 发表于 2017-10-11 10:49
14年的黑dll,卡巴报uds,一下载就把黑dll拦截了。我好奇如果uds没拉黑这病毒会不会运行成功。据原帖这病 ...

我觉得之前已经有很多人解释过这模式的非白即黑是啥意思
不过我可以再说一次:只有“trusted”也就是受信任组或数字签名信任(卡巴合作伙伴的一些数字签名)才能放行。
不是“恶意的”“拉黑的”才阻止。是,只要不信任,就阻止。包括没有明确加白(可能多人使用,信誉未知,没显示绿色图标,受信任组)的,都要阻止。

所以被篡改的dll,在受信任应用程序模式里,显然不会被允许加载。

请问你还有疑问吗?
这些说过很多次了楼主以后问有些问题建议自己先搜索先研究下。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 09:22 , Processed in 0.128368 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表