证明360云地持久连接存在。希望本帖可以帮助纠正一些误区。

myzuzong

关于360云地持久连接技术，争议最大的恐怕就是“物理断网”的概念及其防御机理。下面，我将采用一种比较另类的方法来做测试，解释“物理断网”的真正含义，以及证明360云地持久连接技术的存在。

准备工作：
首先，构造一个简单的批处理文件，内容如下：

1. @echo off
   
2. echo Calling PhysDisconnectNetwork API...
   
3. echo.
   
4. echo Waiting for 10 seconds...
   
5. pause>nul
   
6. echo.
   
7. echo Physical network disconnected.
   
8. echo.
   
9. echo Modifying startup settings...
   
10. reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v test /t REG_SZ /d C:\Windows\notepad.exe
    
11. pause>nul

复制代码

构造这个批处理的思想是：假设我安装了一个硬件，这个硬件的设备驱动程序提供了一个API，叫做PhysDisconnectNetwork，调用了这个API后，这个硬件就会伸出一个机械手，把网线拔了。当然，实际上拔网线的工作由我完成。 然后后面就是简单地修改启动项。

测试一：

保持网络连接。


运行批处理，这次不拔网线，保持网络连接。360理所当然完美拦截。



测试二：
还原快照，恢复上一次的测试环境。

宿主机彻底以物理方式断开网络。虚拟机内当然就无网可上了。


运行批处理，360并不拦截。



测试三：
还原快照，恢复上一次的测试环境。

保持网络连接。

运行批处理。


这时，批处理Call PhysDisconnectNetwork。我作为硬件，显然要响应设备驱动程序发来的指令咯 ，果断彻底以物理方式断开宿主机网络，虚拟机自然也无网可上。

继续运行批处理，奇迹出现了~~~

360在被我这个硬件物理断网的情况下，仍然成功拦截了



结论：
1.在运行程序之前，若没有任何网络连接，那么360是没有进行防御的。

2.若在事先联网的基础上，运行恶意程序，恶意程序以某种360不能防御的断网攻击断开了网络（包括“物理断网”，像我这样响应虚拟的API PhysDisconnectNetwork拔网线的情况），断网之后的恶意行为仍然可以被360拦截。

3.360云地持久连接技术是存在的。

P.S
在我最后一步试验中，断开网络后，机器卡了大约5秒（有大量磁盘读写），360才弹出窗口拦截。看来这云地持久连接应当是采用了什么复杂的算法，才会导致断网后运算那么久。。

yjwfdc

你看看我这贴,
http://bbs.kafan.cn/thread-1101312-1-1.html

你证明了断网后,断网前运行的程序只能有低权限(你的测试3),断网后运行的程序有高权限(你的测试2),而没有证明360断网后还有通信.

久远寺有珠

占位学习

BHHZDQL

yjwfdc 发表于 2011-10-16 11:09
你看看我这贴,
http://bbs.kafan.cn/thread-1101312-1-1.html

云地持久链接作用是：
木马以360无法防御的方式断了网，360依然可以拦截其他动作

360云主防不需要再拦截、对抗新型的断网攻击手法

myzuzong

yjwfdc 发表于 2011-10-16 11:09
你看看我这贴,
http://bbs.kafan.cn/thread-1101312-1-1.html

没说有通信嘛。显然是不可能有通信的啊。只看效果。

yjwfdc

BHHZDQL 发表于 2011-10-16 11:13
云地持久链接作用是：
木马以360无法防御的方式断了网，360依然可以拦截其他动作

这是表面现象,实际原理就是我二楼说的.

myzuzong

BHHZDQL 发表于 2011-10-16 11:13
云地持久链接作用是：
木马以360无法防御的方式断了网，360依然可以拦截其他动作

我也是这样认为。所谓“连接”，其实并不是真正连接到服务器了。网都没有，怎么可能连呢。

BHHZDQL

yjwfdc 发表于 2011-10-16 11:15
这是表面现象,实际原理就是我二楼说的.

低权限。。。。联网弹啥框，断网就弹啥框，，，
那么运算几秒钟怎么解释？

BHHZDQL

myzuzong 发表于 2011-10-16 11:17
我也是这样认为。所谓“连接”，其实并不是真正连接到服务器了。网都没有，怎么可能连呢。

只是说依然能保护
你认为莫名其妙被断了网谁会去运行其他软件？

yjwfdc

myzuzong 发表于 2011-10-16 11:15
没说有通信嘛。显然是不可能有通信的啊。只看效果。

没有通信就是没有连接,何来持久连接? 所以这个持久连接和金山的虚连接一样道理,就是表面现象有点象有通信,实际上没有,其最大缺点是无法防御社会工程学,可以轻易突破.