QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？

yhys

jefffire 发表于 2012-3-10 20:13
晕。第一句还靠谱，第二句就扯淡了。
你搞没搞清楚木马作者为什么用白文件加载恶意dll啊？那是为了过主防 ...

一个程序太非主流貌似不是很利于传播吧…而且最近看见的样本利用的似乎都是比较常见的程序。

jefffire

yhys 发表于 2012-3-10 20:38
一个程序太非主流貌似不是很利于传播吧…而且最近看见的样本利用的似乎都是比较常见的程序。

把程序名字改成“细节图”，受害者也不知道它主流不主流，能过主防就行。样本大多是常见程序，因为对于木马作者来说，这些程序容易获得，并且保证是在白名单内，所以方便。等常见程序封的差不多了，非主流白程序就要登场了。

郑伟用户

leisong 发表于 2012-3-10 18:57
这个黏虫出来的时候，还没QQ2012，所以黏虫对QQ2012可能无效。

谁说对QQ2012无效？这个你你问问李白VS苏轼就知道了

leisong

qwe12301 发表于 2012-3-10 20:14
我认真地作了以下测试，有什么问题的楼主尽管提：

【1.“相册”样本】

可能我RP问题。金山在我这里就是不弹框。好吧，我相信你的测试，那么我还需要一个细节问题。

在先启动黏虫，再启动QQ的情况下，这个怎么防？因为黏虫启动在前的话，是不会结束QQ进程的，只会覆盖假的输入框，这个才是黏虫真正关键的动作，关键动作防不住，其它一切讨巧的手段都可以轻易绕过。所以防御还是有缺陷的。

注意：不是黏虫自启动，而是实际应用情况下，QQ也未必自启动，未必在黏虫前启动吧。

我暂且修改标题，如果所有粉丝有很你一样以测试对待测试帖，那还哪来口水，直接上测试结果就行了，在那里绕绕绕文字，绕出来的是低素质和高级黑的形象而已。

另外：毒霸云在我这里真的抽风很频繁哦，忽灵忽不灵，当然我铁通网络本身不好，但是网正常上得去。

sxyuqiao

leisong 发表于 2012-3-10 21:54
可能我RP问题。金山在我这里就是不弹框。好吧，我相信你的测试，那么我还需要一个细节问题。

在先启 ...

铁通确实会这样
我说下我的测试结果吧：
关闭毒霸先开相册再打开相册，打开qq2012输入密码，MD没有显示有键盘记录的行为

你试试。。。

P.S 很多测试结果之前我和郑伟都贴了，你没连起来看而已

jefffire

leisong 发表于 2012-3-10 21:54
可能我RP问题。金山在我这里就是不弹框。好吧，我相信你的测试，那么我还需要一个细节问题。

在先启 ...

铁通伤不起啊，迅雷服务器和游民星空都要挂SSL才能上

leisong

sxyuqiao 发表于 2012-3-10 22:10
铁通确实会这样
我说下我的测试结果吧：
关闭毒霸先开相册再打开相册，打开qq2012输入密码，MD没有显示 ...

请用QQ2011或2010测试.

你的理解能力可能真的很有问题，包括我的测试和你的一切回答
这个黏虫的所有动作：1、启动时先查询有没有QQ进程，有则结束
2、等待QQ进程启动，覆盖输入框（关键动作）
3、发送出去
如果黏虫启动在前，那么就省略第一步直接执行第二步，直接等待QQ进程启动覆盖输入框就行了。依照你的说法，第二步都无效了。

你自己想想基本的逻辑问题好吧。跟你说话真的挺吃力的，

sxyuqiao

leisong 发表于 2012-3-10 22:15
请用QQ2011或2010测试.

你的理解能力可能真的很有问题，包括我的测试和你的一切回答

不要老是说别人理解有问题，我倒是觉得你的理解有问题

我说的很清楚了，我关闭毒霸，运行样本，然后再打开毒霸，运行MD，运行QQ2012，输入密码的时候MD没有显示这个样本有记录键盘操作的行为

我高中，我觉得你应该是大学这个年龄段，这个年龄段的某些人很喜欢说别人理解有问题，不顾别人感受

我表示毒霸的这个拦截方式确实很单一，没有360拦截全面，看看官方怎么办吧

qwe12301

leisong 发表于 2012-3-10 21:54
可能我RP问题。金山在我这里就是不弹框。好吧，我相信你的测试，那么我还需要一个细节问题。

在先启 ...

文字表述有问题，的确先运行粘虫就不拦截了。这里出现了很致命的漏点
另外一点我刚才也忘了说：在这里金山防黑墙没有发挥作用，看来防黑墙那里还应该增加对这类样本的网络层拦截。

有凤来仪

sxyuqiao 发表于 2012-3-10 22:18
不要老是说别人理解有问题，我倒是觉得你的理解有问题

我说的很清楚了，我关闭毒霸，运行样本 ...

QQ黏虫没有记录键盘这个动作的。
它不需要记录键盘，它只是给个编辑框你自己输入密码。