QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？

yhys

jefffire 发表于 2012-3-10 19:36
逗了，你没看见除了0字节dll外，还有从金山文件夹里复制过来的原版dll？ 请问金山的原版dll有什么异常， ...

这又不是报特征码，非要有恶意代码。不论是0字节的dll，还是用其它有数字签名的dll改名替换，共同点就是它们都不是程序正常运行时应该加载的dll，所以都是可疑的。

jefffire

yhys 发表于 2012-3-10 19:50
这又不是报特征码，非要有恶意代码。不论是0字节的dll，还是用其它有数字签名的dll改名替换，共同点就是它 ...

共同点就是它们都不是程序正常运行时应该加载的dll。

我靠，你这牛逼大了，要是真能识别出是不是程序正常运行时应该加载的dll，白利用样本早就绝迹了。cutemole官人何必说还没有通杀方法。

郑伟用户

jefffire 发表于 2012-3-10 19:58
共同点就是它们都不是程序正常运行时应该加载的dll。

我靠，你这牛逼大了，要是真能识别出是不是程序正 ...

效验dll的合法性，不管他的防御是绝对的还是相对的，还算是一种防御手段，他们不清楚还有课原谅，你要是装糊涂可就.....有事先走了

jefffire

郑伟用户 发表于 2012-3-10 20:04
效验dll的合法性，不管他的防御是绝对的还是相对的，还算是一种防御手段，他们不清楚还有课原谅，你要是装 ...

校验dll的合法性。这个说法还差不多。除了程序原本应该加载的正常dll之外的所有dll加载都认为是异常。

yhys

jefffire 发表于 2012-3-10 19:58
共同点就是它们都不是程序正常运行时应该加载的dll。

我靠，你这牛逼大了，要是真能识别出是不是程序正 ...

常用的白程序运行的时候应该加载什么dll是可以入库的。至于非主流白程序，应该很少有人去利用，因为这属于浪费渠道费。
入库可以用统计的方式，比如一万个用户使用某程序都会加载某模块，有十个人加载的不一样，就很可疑。当然以上只是猜测。

jefffire

yhys 发表于 2012-3-10 20:09
常用的白程序运行的时候应该加载什么dll是可以入库的。至于非主流白程序，应该很少有人去利用，因为这属于 ...

晕。第一句还靠谱，第二句就扯淡了。
你搞没搞清楚木马作者为什么用白文件加载恶意dll啊？那是为了过主防。所以只要你白名单库里存在的，并且有dll加载漏洞的，都可以被当作利用对象。不存在非主流，主流的说法。

qwe12301

我认真地作了以下测试，有什么问题的楼主尽管提：

【1.“相册”样本】
1.我先将文件加壳置灰了测试：右键沙箱，提示未知


2.运行相册病毒，打开QQ，提示如下：



【2.利用“金山清理”样本】

1.将kis.dll文件加壳置灰测试。由于右键沙箱直接提示不支持沙箱运行而略过了云鉴定环节，所以我选择云鉴定器快速检测未知性
我们可以看到kis.dll由于被鉴定未知而被提示上传

2.将“金山清理.exe”置灰了测试，右键沙箱提示未知

3.双击"金山清理.exe"，K+弹窗提示拦截，并弹出一系列文件防毒的提示，干掉了生成物

4.我又使用原版"金山清理.exe"运行，右键沙箱提示安全。可知文件确实是原版的文件。

5.双击“金山清理.exe”文件，过了会弹窗提示第三方loader加载恶意dll文件



综上所述，金山是可以拦截这些威胁的。总体测试给我的感觉，金山目前做的防御策略确实还比较欠缺
就比如本测试体现出目前的拦截策略并非通用性的拦截，而是通过收集可被利用的第三方loader而做的针对性拦截
所以，这里也再次提醒金山官方人员尽快开发出通用的防御方案，将此问题得以彻底解决。

事实上，对金山的防御测试本人也近一年的时间，提出的各项防御弱点也已提交不少 官方也改进了很多，希望我们民间和官方的共同努力也能让更多人看到。
leisong的批评有理，我虚心接受。以后再有什么不得体的言论之处还望指出，我也会有图有真相的把这一事实展现出来而非言辞上的回应

假装不单纯

sxyuqiao 发表于 2012-3-9 18:04
这个也算一种防御方式啊

对真正的QQ粘虫，也有另外的防御方式

for example？

sxyuqiao

假装不单纯 发表于 2012-3-10 20:17
for example？

请自助爬楼，谢谢

qwe12301

BTW：
看到那些针锋相对的讥讽暗喻心里其实挺难受的，在背后做了大量的测试和反馈却换来如此的“回报”
我觉得现在我在论坛所做的，都无愧于心。我所做的一切就是希望金山能变得更好。

金粉金粉，在有些人眼里变成了某些极端黑的形象，也许个别是素质不高。但我想更多的还都是认认真真的做好自己角色的人吧。

所以有时也请楼主高台贵手，少些尖酸刻薄的言语相讥。大家都是普通网友又不是与利益相关的水军，何必用这样的言语伤了对方呢

测试本身做的还是很精彩的，非常感谢楼主的辛苦测试！！ 欢迎楼主以后多做些攻防测试，让更多的问题暴露出来。