[攻防测试]实测ksc灭活”含有数字签名的白文件“---多图

Palkia

原帖：http://bbs.duba.net/thread-22644065-1-1.html

大家好:      昨夜ksc终于在各位工作人员的努力下，各位体验用户的翘首以待下，与大家见面了。但是Ksc到底是什么东西，能有什么用。这里我就以最近很火的网购木马为例，进行攻防测试一下。


先说一下本次攻防测试的方法，方便大家自己动手测试。（以毒霸为例）
1，拥有一台虚拟机，并里面安装好最新版毒霸。
2，关闭杀软的防御，双击病毒母体。让病毒充分进入内存，发挥他的作用。
3，使用毒霸一键云查杀，进行扫描查杀。


介绍一下，本次针对的网购木马的特性：
他是通过一个正常签名的好压文件作为启动项，进行系统启动运行，从而加载病毒进入内存。
他绕过杀软的点很简单，就是依靠杀软对文件维度白的信任，做的坏事。


我们具体看一下截图吧。

1，网购木马写入的启动项，指向的是一个数字签名通过的好压的文件



2，启动项对应的文件，他是通过数字签名的正常的好压得文件。



3，毒霸ksc不光检查出好压的启动项，以及他加载的病毒都检测出来了



这里很多人会说是不是通过文件名来进行判断
新的病毒变种能否查杀灭活
我们做一个实验；

1，修改启动项名称和指向位置



Ksc又报了。



这个时候，大家有问，是不是针对文件，病毒文件免杀了能否报出来？

2，我们再做个修改
注意我们修改病毒，haozip.dll，而不修改签名正常的好压文件，为什么这样，因为修改签名正常的破坏了白属性，也就是启动项中的一个白属性的文件变为一个灰文件，这个时候，毒霸一键云查杀会进行非白即黑的灭活，所以病毒作者一般不会这样做，只会针对后面他自己的病毒文件这么做。
最常见的免杀就是加壳，我们加个猛壳Themida_1.8.5.5



我们再看看 ksc表现，无视他的变形免杀

复制搜索


复制搜索

夜ㄝ殇

建议回复可见

基督的爱徒

再来个购买贴

lwy4652

是不是只有查杀功能，不能防御？

pop0762

怎么感觉还是先中毒后查杀啊？你应该按正常默认设置去双击病毒看看。

忧郁的迷糊酱

有KSC的版本了？

郑伟用户

lwy4652 发表于 2012-2-16 15:38
是不是只有查杀功能，不能防御？

现在查杀已经有了还愁防御不加吗，哈哈

lwy4652

郑伟用户 发表于 2012-2-16 16:01
现在查杀已经有了还愁防御不加吗，哈哈

防御更重要。防是御病毒木马于千里之外

悟心之道

郑伟用户 发表于 2012-2-16 16:01
现在查杀已经有了还愁防御不加吗，哈哈

KSC的查杀侧重于电脑中毒状态，对病毒包扫描测试貌似无甚帮助。
比如类似卡饭之正式云扫描测试，原理上成绩就不会有多少提高。
今天
170x
http://bbs.kafan.cn/forum.php?mo ... &fromuid=513112
带KSC与不带扫描测试，没测出来差别。

悟心之道

郑伟用户 发表于 2012-2-16 16:01
现在查杀已经有了还愁防御不加吗，哈哈

KSC的查杀侧重于电脑中毒状态，对病毒包扫描测试貌似无甚帮助。
比如类似卡饭之正式云扫描测试，原理上成绩就不会有多少提高。
今天
170x
http://bbs.kafan.cn/forum.php?mo ... &fromuid=513112
带KSC与不带扫描测试，没测出来差别。（为什么这么卡）