本帖最后由 LouisOT 于 2011-8-5 17:15 编辑
今天下载了毒霸安装包并安装更新上.新的主动防御技术叫k+(铠甲)..名字听着挺舒服的(貌似最近tx,google 也推出某某+的产品,不知道接着360会不会也跟着推出xxx+ 微创新产品呢?)..
最近的大exe文件执行比较流行.几个样本里就会有一个释放大exe文件并且执行的.这里我就自己手动构建一下大exe文件.看下k+(铠甲)主动防御和360的主动防御能不能进行拦截\清除吧.
modify.exe 是自己编出来的文件. modify.exe负责修改系统的appmgmts.dll内容.在其文件头偏移16个字节处写入测试字符串”testbigexe”.如该字符串被写入appmgmts.dll则认为大exe文件写系统文件未能防御吧.
由于编出来的modify.exe文件大小很小,只有几十k.这时我使用WinHex工具.先新建一个300m大小的全是0x00数据内容的文件.再复制modify.exe文件的全部内容往这文件里写入并保存一下.这样,一个300m文件大小并且带有修改appmgmts.dll功能的大exe文件就生成啦(改名为test.exe).嘿嘿.
先在装了金山毒霸2012上的机器上,直接双击test.exe.看可不可以成功修改系统appmgmts.dll吧.…………test.exe一执行起来金山毒霸2012 就弹出个红色泡泡提示说”拦截到恶意程序行,建议阻止”..- -!..被拦截..
在第一次就被拦截后,经常多次不同的其它操作(也是执行test.exe).会弹出另一个拦截泡泡(不知道该操作是怎样触发的,但也确实可以拦截到该大exe文件执行.只是两种不同的弹窗显示).
再尝试跑下360看下它能不能拦截test.exe修改appmgmts.dll文件吧.
双击样本,1秒..2秒…3秒.. (时间过去3秒.) 怎么360没弹泡泡阿?test.exe被执行起来呀.. 360 没防吗? 迅速去看下appmgmts.dll的文件头数据.如下:
360没能防御住大exe文件test.exe向appmgmts.dll该系统文件写入数据(那病毒如果是大exe文件的话,360这里也没能防御住).
总结下,之前没怎么使用金山毒霸这产品(机器平时都是裸奔的).这次是冲着新的主动防御去测试测试的..就那个大exe文件执行..k+(铠甲)主动防御是可以在执行时就被拦截下来..而360则无任何反应..猜想下..金山毒霸是不是在这防御里使用了什么特殊的技术?又或者只是通过金山的云来判断呢? (如果是云的话,我觉得不太现实,毕竟是337m的文件,通过云上传的话不就卡死用户咯) 个人比较偏向金山是在这块防御里使用了什么技术的..具体是什么,还是要请金山的官方人员出来说明说明.
未执行大exe文件前 appmgmts.dll 的 md5 值.
[attachimg]1322800
执行完大 exe 文件后 appmgmts.dll 的md5值如下.(说明被修改)
样本传送地址:http://bbs.kafan.cn/forum.php?mo ... DQ3MTgwMnwxMDQ1NjI3 |
[复制链接]
发表于 2011-8-5 17:11:27
