网购木马穿透360网购保镖、主防以及防支付页面劫持，全过。问题还没完30F

FOXFFF

fujun_926 发表于 2011-11-22 13:50
已经可以拦截了

这么快就可以拦截了？

Tron

leisong 发表于 2011-11-22 13:14
我这里是报毒了，但问题还没完，我关闭360先运行病毒，然后再打开360测试防支付页面劫持功能，整个劫持 ...

目前对于类似的网购木马样本主要靠主防和网购保镖拦截来拦截。

这个样本可能是新的跳转方法，我们也会看一下，跟进对抗方案

leisong

fujun_926 发表于 2011-11-22 13:50
已经可以拦截了

保镖、主防、支付页面防劫持哪几样可以拦截了？
由于我这里被360行为报毒，无法靠修改MD5测主防，但有一个是肯定的，不能防支付页面劫持（见30F），所以问题还没完。

较真，是因为对360期望太高，不希望这么多环节全都被穿透，我可单奔360来着，还用着网银支付宝，输不起啊。

FOXFFF

leisong 发表于 2011-11-22 13:55
保镖、主防、支付页面防劫持哪几样可以拦截了？
由于我这里被360行为报毒，无法靠修改MD5测主防，但有一 ...

如果对跳转的支付页面直接报钓鱼如何？网购毕竟还是靠网页才进行的.....

leisong

FOXFFF 发表于 2011-11-22 13:58
如果对跳转的支付页面直接报钓鱼如何？网购毕竟还是靠网页才进行的.....

靠入库有什么用？木马更改一个跳转的页面不就行了。而防跳转的方法是可以对付该类所有跳转的，这才是主防的前摄性意义。所以才说防重于杀。更新一个主防的BUG可以对付一类，更新一个库只能对付这一个。

FOXFFF

leisong 发表于 2011-11-22 14:03
靠入库有什么用？木马更改一个跳转的页面不就行了。而防跳转的方法是可以对付该类所有跳转的，这才是主 ...

那么俺能否这样试想一下，凡是要进入这个跳转的支付页面的时候，360跳出一个框框提示：安全软件正在模拟是否属于钓鱼性质的转账..如此云云.....
     也就是说要是能够做到虚假似模拟一遍在跳转的支付网页上输如银行账号以及密码，看是否属于诈骗性质的支付.....（当然了，这个只是俺的试想，技术方面很难做到吧）
   
    或则从木马方面下手，既然是钓鱼形式的，那么网页上多多少少会有窃取用户账户的木马存在吧

leisong

FOXFFF 发表于 2011-11-22 14:11
那么俺能否这样试想一下，凡是要进入这个跳转的支付页面的时候，360跳出一个框框提示：安全软件正在 ...

钓鱼页面本身没有木马，钓鱼和网马有本质区别。
你说的什么模拟输入帐号和密码，估计连技术员都听不懂，至于如何对抗劫持支付的过程相信360可以研究出对抗办法。

FOXFFF

leisong 发表于 2011-11-22 14:19
钓鱼页面本身没有木马，钓鱼和网马有本质区别。
你说的什么模拟输入帐号和密码，估计连技术员都听不懂， ...

它不是钓鱼嘛？钓鱼你就要输入账号、密码什么的，弄一个假的支付页面给你！如果你直接输入转账成功了但是自己买的东西却并没有支付成功那么这个就算是被钓鱼成功了吧！我说的模拟就是像这样，模拟用户真实的去支付要输入账号、输入密码，然后支付金钱！模拟的形式和你用沙盘运行软件一样，是虚拟的，并不是真实的！如果安全软件模拟出这个支付页面支付后的效果并不是真实的购买的产品那么久可以直接阻止用户在这个页面支付了....不知这样是否可行....

guidanba

Tron 发表于 2011-11-22 13:55
目前对于类似的网购木马样本主要靠主防和网购保镖拦截来拦截。

这个样本可能是新的跳转方法，我们也会 ...

大牛：网购木马的目标就是真金白银，网购木马现在也在飙技术，难道我们就只是不断推出对抗版本？？大牛看能不能想个一劳永逸的灭绝之法，让我们广大网购人士从此放心网购，若360能做到，那360可就是大功臣了。

leisong

=========如果安全软件模拟出这个支付页面支付后的效果并不是真实的购买的产品那么久可以直接阻止用户在这个页面支付了===========

你这个想的过于天真了吧，这个要真实的支付后才知道结果是否为用户想要的，难道要淘宝网和各银行配合安软完成整个模拟支付过程？

另外，你没搞清一个基本事实，支付页面是真的不是假的，看30F比较一下，如果是假的，对方也获取不了钱啊，只是支付目标在中途被篡改了而已，其它过程和支付页面全都是真的