QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？

sxyuqiao

leisong 发表于 2012-3-10 17:29
不注入QQ，就是单纯的结束QQ再覆盖输入框。
样本前一阵疯狂的贴在样本区，你随便找一个老的黏虫测试就 ...

到底是hash还是微特征呢

结束QQ这个，样本区我记得郑伟不是贴了测试了么，毒霸把结束QQ的行为拦截了

加壳，这个我说是毒霸微特征的问题，没说是主防的问题。

我没绕文字啊，主防和微特征，你说哪个问题？

实测？ 给下样本啊亲

sxyuqiao

jefffire 发表于 2012-3-10 16:30
0字节的dll还能匹配什么规则？ 文件名规则也是规则的一种，文件名规则更是系统维度的规则。

不要扯开啊，0字节的dll就不是异常dll了？

系统维度现在还没融入K+，请不要混淆

sxyuqiao

leisong 发表于 2012-3-10 17:20
问题就在于这其实不算主防。主防是应对的病毒的动作，而不是微特征+文件名的简单判断。

真正靠动作来 ...

那我想听一下360对这种DLL漏洞防御的方法，求教

yhys

leisong 发表于 2012-3-10 17:29
不注入QQ，就是单纯的结束QQ再覆盖输入框。
样本前一阵疯狂的贴在样本区，你随便找一个老的黏虫测试就 ...

这不是名字的问题，而是原理的问题。

不是所谓实测结果就能证明一切的，你的实测结果和你得出的结论之间有断层，不是把别人的推理说出文字游戏就可以绕开的。

说主防就是和加壳改特征无关的东西，这个加壳改特征是指针对恶意文件本身的。你把病毒的dll加壳改特征都是过不了的，这是事实。

至于把正常文件加壳改特征，然后再去加载未知模块，这也算过了？行为分析也是看目标的，现在讨论的拦截点本来就在病毒利用特定白文件加载，你把白文件加了壳来过，这算什么？
那拦截点在调用系统函数利用系统文件的，我是不是可以通过把系统文件系统内核修改一下来过？

leisong

sxyuqiao 发表于 2012-3-10 18:04
到底是hash还是微特征呢

结束QQ这个，样本区我记得郑伟不是贴了测试了么，毒霸把结束QQ的行为拦截了

http://dl.dbank.com/c09xm0db6b

我这里几个黏虫，金山都没弹结束QQ的框

退一步讲，即使防了又怎样，黏虫先运行，QQ后运行又怎麽办呢

郑伟用户

leisong 发表于 2012-3-10 18:12
http://dl.dbank.com/c09xm0db6b

我这里几个黏虫，金山都没弹结束QQ的框

毒霸3.3以上拦截无压力，你不会是关闭毒霸系统防御运行样本吧

leisong

郑伟用户 发表于 2012-3-10 18:22
毒霸3.3以上拦截无压力，你不会是关闭毒霸系统防御运行样本吧

默认设置，没动过。
关闭系统防御测主防，搞笑啊。

郑伟用户

leisong 发表于 2012-3-10 18:26
默认设置，没动过。
关闭系统防御测主防，搞笑啊。

呵还知道搞笑啊---你开着毒霸防御，我看看本是怎么运行的

leisong

郑伟用户 发表于 2012-3-10 18:28
呵还知道搞笑啊---你开着毒霸防御，我看看本是怎么运行的

无拦截。不如你贴图看下怎么拦截的啊，光说有什么用。
不过现在金山云又抽风了，想测也测不起来了。

sxyuqiao

leisong 发表于 2012-3-10 18:12
http://dl.dbank.com/c09xm0db6b

我这里几个黏虫，金山都没弹结束QQ的框

我这里还在测试

郑伟的测试很清楚了，由于毒霸已经入库，人工置灰后会弹出结束QQ的弹窗的