【cvcvxk】(给微点防火墙们的建议) 杀DLL插入式木马的一个思路

Nblock

作者:	标题: 封杀DLL插入式木马的一个思路~
killvxk 新手上路 积分 11 发帖 11 注册 2008-9-3	小小的测试程序 过微点卡巴防火墙，运行之后你会发现你的temp文件里面多了一个9M大的05版微点，算作礼物 ^_^ 下载者穿微点防火墙 附图： 【vxk的建议】： 传统防火墙在底层拦截到网络操作，检查进程名称，进程路径，文件HASH等，发现是白名单就直接放行。 其实这是严重，严重的错误意识造成的严重的漏洞！ 这个玩意让那些不入流的垃圾木马插DLL过防火墙了！！ 正确的处理逻辑 应该是检查进程全路径，文件HASH后取当前该进程内的DLL列表，然后检查DLL列表是否是白名单允许时的这个进程状态，如果是，进一步验证每个DLL的HASH,如果正确则放过。 否则弹出提示，该进程内存模块与上次进行网络操作 XXX 时不同，不同模块名称为：XXX 此时可以先验证一下新入模块名称和HASH是否在默认的白名单里，如果在就直接放过，不用弹出提示 如果不在，可以弹出提示，再进一步联网验证，返回推荐的选项，这样节约了用户的脑子... 具体逻辑流程图这里不给出了——^_^ 补充一下这个思路： 另外还有很多种XX方案可以用来做检测，实际上还要考虑远线程shellcode模式的。 其实通过浏览器进程的窗体是否可见性可以排除一批，svchost进程的DLL必然是M$的，VC++编译，不可能是Delphi的可以再干掉一批~~ 网络操作的进程是否被隐藏了，又一批被干了 我多年的绕过防火墙的经验证明了一件可怕的事情： 国内很多防火墙的设计者思维一点发散能力都没有，千篇一律的XX方式，毫无创意... 我很失望，非常失望。 目前做的不错就ZoneAlarm（我看到第一个要判断浏览器进程的父进程是不是explorer的玩意）和趋势（我遇到的第一个对进程模块列表做检查的变态），其他的都是千篇一律的东西！ 我渴望的是一场一心不乱的大战争！ 不要让我失望，防火墙们~ 最后说一句： 以后看到这个，并用了这个思路的防火墙们，只要别说是自己原创研发的XX技术就行了。不用提是谁发出来的~~^_^ 【vxk】没有战争就没有进步 我们正在研究如何过ghost http://bbs.micropoint.com.cn/showthread.asp?tid=40368&fpage=2 【vxk】惊现Bios Downloader (图)   http://bbs.micropoint.com.cn/showthread.asp?tid=32819&fpage=1&highlight=vxk%2B%B5%E3%B7%B9%B5%C4%B0%D9%B6%C8%BF%D5%BC%E4 【vxk】银行提款机已被黑客攻破！ http://hi.baidu.com/micropoint/blog/item/b01cc65c12ddb746faf2c045.html 【vxk】只要在硬件控制范围内的计算机都会被搞 Doppelganer Project的一些简单介绍 http://bbs.micropoint.com.cn/showthread.asp?tid=36958&fpage=1&highlight=vxk%2B%B5%E3%B7%B9%B5%C4%B0%D9%B6%C8%BF%D5%BC%E4 【vxk】用猥琐的Beep之注册表法 突破微点主动防御 http://bbs.micropoint.com.cn/showthread.asp?tid=37105&fpage=1&highlight=vxk%2B%B5%E3%B7%B9%B5%C4%B0%D9%B6%C8%BF%D5%BC%E4 【vxk】最简单的过Vista UAC的方法（2位天才的合影） http://bbs.micropoint.com.cn/showthread.asp?tid=39002&fpage=1&highlight=vxk%2B%B5%E3%B7%B9%B5%C4%B0%D9%B6%C8%BF%D5%BC%E4 北京 左vxk ※ ※ ※ 本文纯属【killvxk】个人意见，与【 微点交流论坛 】立场无关※ ※ ※
2008-9-3 18:45

dl123100

原来那个过MP的样本是vxk大牛的杰作

一凡

转帖内容不错，可惜编辑的不好

Nblock

过mp的样本不是vxk的~ 是作者自己找来的

寒痕

呵呵,过微点的高手太多了..
毕竟是被迫防御..
家里的微点就陷入了防下载者不断杀杀的程度..
一直是一个木马生成的文件
微点只能防到生成的连接
而无法制止生成的行为
所以俺家一下装了 SD 红伞 OUTPOST SD杀木马那个 还有微点  

[ 本帖最后由 寒痕 于 2008-9-5 13:45 编辑 ]

上德010

很详细，很专业，顶了！

killerwhale

呃……   能不能跟楼主先说一声
你把那个05版微点换成活体病毒再试试……
我在测试中发现   几乎所有的下载者运行后微点都没有反应   但是当下载者下载完毕   开始运行下载的东东的时候
微点就会把下载下来的东东和下载者一起砍掉
所以你的下载无危害东东的样本并不能说明任何问题
我只要把大多数下载者的下载链接改成卡饭论坛   微点可能一个都杀不出来
因为这些从严格意义上说已经不能算病毒了

[ 本帖最后由 killerwhale 于 2008-9-5 15:56 编辑 ]

spiha

主要还是穿墙的技术

是不是用在下载者身上并不重要