最新白文件利用活木马实测金山KSC

zltcyf

哦 哈哈 官人说今天毒霸要升级到内存级别查杀。专门解决这种问题。。。。话说你们谁有时间看看？

qwe12301

姐夫测试辛苦 :)

第一个样本，应该也是正常白文件被利用的吧
如果系统没有与之关联的点可能就检测不到，就是所谓一次性木马

网购木马的特殊性在于一次性，但一般此时都会自动开启网购保镖 对注入的dll有所拦截，加上最近紧急增强的防白文件被利用的漏洞防御
应该能比较好的拦截。

seehere

jefffire 发表于 2012-2-16 21:37
我看看

能说说KSC与急救箱的区别吗？
虽然我不同意leisong的口气和说法，但也有相似的疑问。
K+与KSC如何结合？

迷惘的执著

技术流啊~

老机子

钟馗见鬼 发表于 2012-2-16 23:12
大家？？？
请注意自己的言论。
不要把卡饭和毒爸论坛混为一谈。

我发现你这个官方人员，挺有意思！我只是单就卡饭的子版块——金山区里有毒霸的会员！你还故意打错字，小子这一招太小儿科了！

jefffire

seehere 发表于 2012-2-17 10:44
能说说KSC与急救箱的区别吗？
虽然我不同意leisong的口气和说法，但也有相似的疑问。
K+与KSC如何结合？ ...

区别还是能看出来的。就目前看来，KSC在非白即黑的基础上更深入了一步。就拿本贴中第二个样本为例。这个启动项指向的其实是一个白程序，急救箱判断到白文件就结束了，而KSC又有进一步的判断逻辑。我猜测可能是判断到这个文件有被利用的可能（基于收集到的样本），然后进一步判断dll的黑白，结果发现一个非白dll，于是启发报毒，当然这个过程可以用机器学习算法自动化。

实际上，完全基于“系统维度”的判断是不可能的。文件本身的代码其实已经说明了一切，其他变量只是一个辅助判断。除了大白羊提出的问题外，还有一个例子：那就是我们上报给厂商样本的时候，只需要上报文件即可，厂商不需要知道系统的关联信息也能非常精准的判定黑白。

zoloz8

我也试试

seehere

jefffire 发表于 2012-2-17 13:30
区别还是能看出来的。就目前看来，KSC在非白即黑的基础上更深入了一步。就拿本贴中第二个样本为例。这个 ...

谢谢解答，对于我来说已经非常详细了

李白vs苏轼

不是不依赖文件纬度了么，那第一个怎么还是查不出来，好好想想吧

南缘北者

学习了，很佩服技术流的大神们