QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？

郑伟用户

cutemole 发表于 2012-3-9 22:14
首先非常感谢楼主的测试，我来代表官方和大家探讨下K+的防御策略：

1.实际上毒霸K+对第三方loader的病毒 ...

其实一句话就可以回复楼主，dll给改了名，这个exe还会去加载吗

yhys

这个和文件名查杀没有直接关系吧，那些被利用的白程序本来就是依照文件名加载dll的，修改文件名之后再运行白程序这个dll就不会再加载，也就不可能去拦截。

通过检测程序运行时加载的dll是不是白程序，甚至进一步通过规则匹配常见exe和dll的关系，也可以达到一样的效果。

22667999

leisong哥真相了~

李不知

如果，KSC能快点溶入主防，利用自学习的方法。如QVM一样。再怎么改白文件，他的规则是可以被拦截的

BHHZDQL

郑伟用户 发表于 2012-3-9 22:59
其实一句话就可以回复楼主，dll给改了名，这个exe还会去加载吗

你都没看清楚。。。
把DLL替换成空的同名文件，照样给弹窗///

郑伟用户

BHHZDQL 发表于 2012-3-10 08:21
你都没看清楚。。。
把DLL替换成空的同名文件，照样给弹窗///

你不应该这么笨的----加载的dll是空的，那么就说明加载的dll不是原本应该有的，也就是不合法，你说该不该拦截。这是一种防御策略，不是文件名识别

cutemole

BHHZDQL 发表于 2012-3-9 22:45
空的DLL有什么危害么？

因为我们的防御策略是不需要关心dll的好坏的

cutemole

郑伟用户 发表于 2012-3-10 11:32
你不应该这么笨的----加载的dll是空的，那么就说明加载的dll不是原本应该有的，也就是不合法，你说该不 ...

郑伟的理解正确 ！
我们拦截的是非法的loader加载dll

leisong

cutemole 发表于 2012-3-10 13:41
郑伟的理解正确 ！
我们拦截的是非法的loader加载dll

即便已收集的白文件利用名单，也可被本小白轻轻的破解。——注意：破解方式实在太小白。
测试空白DLL，只是为了验证文件名拦截的，其本身没啥好争论的。姑且认为可以有效拦截。

但是如我所料，既然是文件名拦截，你不承认，自然是因为主程序非文件名拦截，这个我自然知道，我只是验证了DLL是文件名拦截，因为你们认定了DLL是无法改名的，姑且认为这样做是有效率的，但是，一如我所料，这种收集百文件利用名单的方法主程序应该是微特征入库（不过我原以为HASH值），只要加个壳过掉微特征，金山全程再无拦截。任由黏虫动作。

所以收集利用清单的完整描述应该是“微特征（主程序）+文件名（DLL文件，因为不可改名运行）”，所以你不承认是文件名，但主F测试已经有力证明了确实主要靠文件名拦截。不然收集利用清单还能怎么入库？

sxyuqiao

22667999 发表于 2012-3-10 00:56
leisong哥真相了~

汗，你都没搞懂到底讨论的是什么
到底是不是真的是文件名拦截