这个网站对电脑危害？？？？？？[挂马][by 帅就是帅]

kaba2

帅就是帅 发表于 2012-2-18 22:18
挂马

     我不知你判断是否拦截成功的依据是什么，可能我们的理解不同，你是以报了算拦截成功，我是以未对电脑造成任何伤害算成功，事实也是这样，如果废尽心思制作的网马，不能对电脑造成任何行为，那“网马”的意义何在？有这时间不如去泡吧？这个站我上了，钢钉确实没报，但也无任何异常，未在系统产生任何文件，这就是我们理解不同的问题，可能你认为没有行为也要报才算成功吧。

帅就是帅

kaba2 发表于 2012-2-26 20:54
我不知你判断是否拦截成功的依据是什么，可能我们的理解不同，你是以报了算拦截成功，我是以未对电脑 ...

1. 这个网站互联网钢钉没有拦截，在上个帖子我说了，是情有可原的.
除了这个站，还有几个站我也试过了，同样没有被报. 查了下网页源码就知道为什么了.
正因为此，所以推测出钢钉的工作方式较高可能性在wininet上做手脚，hook了urldownloadtofile和urldownloadtocachefile上，一劳永逸，直接高效.
2. 但这种方式并不是完全保险的，仍然存在风险. 某些特殊构造的 shellcode 可能已经加载到内存执行产生威胁，钢钉的作用在于防止网马下载到本地这样就防不住了.
但这种高质量的网址可遇不可求，你让我找出一个来证明我还真一时半会儿找不到，但从上面的例子来说，已经可以说明钢钉并不是完美的，如果你是原作者肯定更明白.
其实这样的工作方式已经被很多人想到了，有些软件也都用到，可以理解钢钉作者的小聪明，但也正如上个帖子说的，由于网络环境群魔乱舞，太单一的个人作品可能并不完全有效，可以用于个人学习交流之用也挺好的.
同样地，未对系统监控测试，以上只针对片面的一个角度而说的，个人浅见.

kaba2

帅就是帅 发表于 2012-2-26 22:15
1. 这个网站互联网钢钉没有拦截，在上个帖子我说了，是情有可原的.
除了这个站，还有几个站我也试过了， ...

    我知道你说的了，你的担心是多余的，要不怎么能叫强大呢，我用过的经验就是，如果真的下载成功，直接就被删除到 C:\Hltemp 目录下，根本运行不了，运行了也被拦截、删除，不仅仅是无法下载，下载了也执行不了，本版版主 雨宫优子 亲自尝试过，你问他就知道了，你以后要是经常试验，就会发现钢钉的强大了，国内国外的网马都防！。。

下面就是国外的一个网马，如果下载成功，直接被删除到 C:\Hltemp

http://173.212.218.124/content/fdp1.php?f=166

http://94.75.207.165/content/ap1.php?f=66

xiuzhiguo

js单一提取出来报 网页载入不报 可能是网页下载有点慢吧

帅就是帅

kaba2 发表于 2012-2-26 23:37
我知道你说的了，你的担心是多余的，要不怎么能叫强大呢，我用过的经验就是，如果真的下载成功，直 ...

可能你没理解我的意思，如果你是作者知道源代码的话更明白.
在 12# 已经说到，“钢钉的作用在于防止网马下载到本地”，只要“下载到本地”，钢钉就会拦截.
这些也都和你描述的相吻合，也在绝大多数情况下为确切事实.
关键词在“下载”，所以才推测钢钉 hook 了 URLDownloadToFile 和 URLDownloadToCacheFile 来拦截网马.
这种拦截方式对于一般的 obfuscation 粗糙掩藏网马地址，网马直啪啪的下载本地，然后运行，攻击……直接有效.但并非所有的网马都是直啪啪下载本地缓存，然后运行的……也并非所有的网络威胁都需要网马通过浏览器下载.
另，我指国外的网马也并没说所有国外的网马都能过，要看其掩藏的方式及利用的漏洞，总之国内是很少这种高质量的网马.

最后，我不是来说服你接受我的观点的，我也认真阅读并尝试仔细揣摩你的观点，这些东西还是需看人看事.
个人仍尊重你的观点和看法，祝好运 :-)

帅就是帅

xiuzhiguo 发表于 2012-2-27 15:57
js单一提取出来报 网页载入不报 可能是网页下载有点慢吧

呵呵，你被骗了。。。

论坛上不了图，沙盘里运行 Winhex 一类的软件打开 js.js , 看看十六进制开头是不是 4D5A。。。

klinxun

诺顿safeweb报了，另外自己把那js下载来诺顿下载分析也报了。

萧逆水

xiuzhiguo

那拉入黑名单

jefffire

帅就是帅 发表于 2012-2-26 22:15
1. 这个网站互联网钢钉没有拦截，在上个帖子我说了，是情有可原的.
除了这个站，还有几个站我也试过了， ...

叉叉越来越有范儿了，顶一个