QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？

显示全部楼层 · 发表于 2012-3-10 15:04:48

BHHZDQL 发表于 2012-3-9 22:45
数字的木马防火墙没有看到“粘虫安全防护”呀

系统维度的独家防御
独家防御

这种都出来了你说呢

显示全部楼层 · 发表于 2012-3-10 15:06:24

本帖最后由 leisong 于 2012-3-10 15:11 编辑

qwe12301 发表于 2012-3-9 16:54
单纯的QQ粘虫样本金山是可以拦截的，并不受所谓文件名的限制。..

既然没法再黏虫真正的动作时防御，单纯的黏虫又如何防御？你是想当然还是测试过了，测试过了请提供一张截图我看看。

为了你这句话，我特地找了老黏虫（非白文件利用），金山全无拦截。

另外，见89楼，已收集白文件被利用清单，也可以被轻轻的破解。

所以正确的是应该这样表述：这种微特征+文件名拦截方式，小白都太容易破解，绕过微特征就行。

我原先以为这种比特征码引擎效率高点，也是错误的。

显示全部楼层 · 发表于 2012-3-10 15:15:35

本帖最后由 leisong 于 2012-3-10 15:21 编辑

jefffire 发表于 2012-3-9 19:21
对于dll劫持漏洞，利用文件名拦截策略上问题不大，只要发现一例就可以封掉一路。问题是换个其他白文件就不行 ...

我原先也以为这种方式比特征码引擎效率高点，然后又仔细一想，既然靠收集利用名单，除了DLL靠文件名外，主程序一定是HASH值或微特征入库（我知道主程序无可能靠文件名，所以官方死不承认），进一步测试证实了所想，修改MD5值无效，但随便加个壳绕过微特征即可轻轻的破解这种微特征+文件名拦截方式。

不信你试试。

当然，这已经完全破坏了签名，已不叫白文件利用了，但从纯技术攻防角度考虑对付金山的这种拦截方式实在是太小白了，实在是比特征码还弱，愧对于主防以不变应万变的称号，归根到底不算是真正的主防——行为防御，只是靠投机取巧拦截部分罢了。

PS：极少数粉丝又开始想绕开话题欲图水了此帖，请注意一点

显示全部楼层 · 发表于 2012-3-10 15:27:28

leisong 发表于 2012-3-10 15:06
既然没法再黏虫真正的动作时防御，单纯的黏虫又如何防御？你是想当然还是测试过了，测试过了请提供一张 ...

能否放出样本，我用SP3.4测试一下

这里是2个不同的概念了

老粘虫是类似于覆盖登陆窗口
而所谓的新粘虫是用dll劫持来劫持登陆窗口

一个会注入结束QQ，一个只是单纯的动作，无对QQ本身的动作。
如果这个算问题，那应该是毒霸的微特征这个问题上面去。

对于一些白文件利用的拦截，抓住几个就是几个，反正到头来注入的时候还是会被发现
微特征的方法为何不可呢？加壳再破，那就不是单纯的过了

显示全部楼层 · 发表于 2012-3-10 15:27:28

leisong 发表于 2012-3-10 14:59
即便已收集的白文件利用名单，也可被本小白轻轻的破解。——注意：破解方式实在太小白。
测试空白DLL， ...

仍然没看到能证明文件名拦截的证据。

主程序的入库和文件名拦截无关。

依靠检测dll文件名拦截 / 依靠检测主程序加载的dll是否符合规则拦截，这两中方式在你的实验中无法区分，所以说这个属于文件名拦截没有证据。

显示全部楼层 · 发表于 2012-3-10 16:30:42

本帖最后由 jefffire 于 2012-3-10 16:36 编辑

yhys 发表于 2012-3-10 15:27
仍然没看到能证明文件名拦截的证据。

主程序的入库和文件名拦截无关。

0字节的dll还能匹配什么规则？文件名规则也是规则的一种，文件名规则更是系统维度的规则。

显示全部楼层 · 发表于 2012-3-10 16:32:50

leisong 发表于 2012-3-10 15:15
我原先也以为这种方式比特征码引擎效率高点，然后又仔细一想，既然靠收集利用名单，除了DLL靠文件名外， ...

修改过的白文件，就不能利用白名单过主防了，当然前提是主防能拦住后续动作。实际上你说的问题是，主防本身规则和强度不给力。

显示全部楼层 · 发表于 2012-3-10 17:11:02

jefffire 发表于 2012-3-10 16:30
0字节的dll还能匹配什么规则？文件名规则也是规则的一种，文件名规则更是系统维度的规则。

0字节的dll也属于异常dll，程序运行的时候也会试图加载这个dll（1楼的图也显示了），所以也是可以用规则匹配的。

显示全部楼层 · 发表于 2012-3-10 17:20:18

本帖最后由 leisong 于 2012-3-10 17:34 编辑

jefffire 发表于 2012-3-10 16:32
修改过的白文件，就不能利用白名单过主防了，当然前提是主防能拦住后续动作。实际上你说的问题是，主防本 ...

问题就在于这其实不算主防。主防是应对的病毒的动作，而不是微特征+文件名的简单判断。

真正靠动作来防御的主防，是站在病毒前面以不变应病毒的万变的，是不可以修改特征码（更何况还是微特征）即过之的。

所以说这是投机取巧，不可靠的防御。

对付金山原本也用不着什么白名单了，因为它压根不是主防。

显示全部楼层 · 发表于 2012-3-10 17:29:45

本帖最后由 leisong 于 2012-3-10 17:30 编辑

sxyuqiao 发表于 2012-3-10 15:27
能否放出样本，我用SP3.4测试一下

这里是2个不同的概念了

不注入QQ，就是单纯的结束QQ再覆盖输入框。
样本前一阵疯狂的贴在样本区，你随便找一个老的黏虫测试就可，若拦截，把结果贴出来即可。

其实不用费什么力测了，靠收集名单也只能以类HASH值（主程序）+文件名（DLL改名无法加载所以用了文件名也无可厚非）。不然还能怎样？

但这个不叫主防，主防是应对病毒动作而言的，是和加壳改特征无关的一样东西，请不要混淆了概念。

================加壳再破，那就不是单纯的过了================

实测证明就是简单的加壳过了，过了就是过了，什么都不拦截，什么叫不是单纯的过了，这文字绕的。

PS：另外一个绕文字游戏的，你来错了地方，请就样本本身的测试结果探讨，不要以文字游戏绕开纠缠于叫不叫文件名拦截。叫也好不叫也好，实测结果你想以文字就可以绕开？

[金山] QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？