关于金山毒霸拦截利用白文件加载非法dll文件的一个实验

yhys

类似的实验前几天某人做过，题目为“QQ黏虫的微特征+文件名拦截......”，在金山区首页一眼就能看到，看本帖之前最好先看一下那个帖子并爬楼。。。。。

由于本人比较懒，遇到通过说话、用别人的实验结果推理一下就可以解决或者大致解决的问题，一般懒得去做实验。

前几天看见某人做金山毒霸拦截利用白文件加载dll，把正常的dll替换成同名的空文件或者其它无关的白文件，毒霸都拦截，而改名之后不拦截，就得出毒霸是靠文件名来拦截dll。我觉得存在另一种可能，就是不通过文件名拦截，而是通过检测白程序运行时实际加载的dll来拦截。因为实验用的程序都是根据文件名来加载dll的，所以这两种方式在实验中无法区分，说事实是两者中的任意一个，都是缺乏足够证据的。

这个逻辑很简单。但是我在某人的帖子中如此回复之后，某人从不正面回复，而是拐弯抹角地说本人“玩文字游戏”“口水”“没有实质讨论”，甚至扣上“低素质”“高级黑”的帽子，对此我只能表示很无奈。

---

为了验证真相到底是两者中的哪一个，今天做了一个新的实验。

实验使用的白文件是好压安装文件夹中的HaoZipImgConvert.exe，运行时会加载haozip.dll，来源是毒霸社区（在此鄙视一下某些人发帖不带样本的人）
使用的毒霸版本是2012 sp3.4升级到最新（本来想用公开的3.3测试，但是3.3无论如何都不拦，所以结果有可能有区别）

首先用WinHex把haozip.dll中一些不是特别重要的部分随意修改一下，修改之后数字签名无效


然后运行HaoZipImgConvert.exe，毒霸拦截，把haozip.dll替换成空文件，效果一样。


用WinHex修改HaoZipImgConvert.exe，把其中指定的haozip.dll修改成hooooo.dll





这样修改，程序运行后就会加载文件名为hooooo.dll的dll，用云鉴定器鉴定此文件，显示已知安全文件，很多人拥有。



把上面修改过的haozip.dll改名为hooooo.dll，程序可以正常运行，毒霸不拦截。


把空文件改名为hooooo.dll，运行，毒霸不拦截，报错


在一个文件夹中只有错误的hooooo.dll和HoooooImgConvert.exe（改名便于区分）时运行程序，不拦截，报错



在文件夹中同时有hooooo.dll和haozip.dll，或者只有haozip.dll，拦截

---

在完整的好压文件夹中放置修改过的HaoZipImgConvert.exe、空的haozip.dll、修改过的hooooo.dll，运行，拦截


选择允许，正常运行


在完整的好压文件夹中放置修改过的HaoZipImgConvert.exe，空的haozip.dll，空的hooooo.dll，运行，拦截



允许，报错

---

以上就是这个实验，结果应该比较明显了，请自行分析。

理论上利用这种方式对白文件进行修改，来加载其它名字的dll，白文件仍然是白文件，而毒霸不拦截灰dll，应该可以用来过毒霸，希望官方对此改进一下。




附件，里面是原版haozip文件夹和修改过的（会加载hooooo.dll）HaoZipImgConvert.exe

http://kuai.xunlei.com/d/KJYIDOEVSXQA

但是无法保证这个实验能重现，因为毒霸对这个行为的拦截并不稳定。

另外此实验与所谓QQ黏虫没有直接关系，黏虫未必会利用这种方式加载，利用这种方式加载的也未必是黏虫。

一个疑点，某人的实验中运行白文件时先弹出报错信息，然后才弹出毒霸的拦截；我这里是毒霸先拦截，选择允许后才弹报错信息，选择阻止就没有其它现象了。

---

总结一下实验结果：

白程序A执行时会加载同目录下名字为B的dll，由于A加载dll的时候不进行校验，所以把任意文件改名为B.dll放在目录中，A都会加载。恶意软件可以通过把B替换为恶意文件，通过白文件A来执行，躲避安全软件的防御。

金山毒霸对这种加载方式做了拦截，实验中把任意非原版dll的文件改名为B.dll放在A的目录中，执行A，毒霸都会拦截A的运行。

对A进行修改，使A运行的时候不加载文件名为B的dll，而是加载文件名为C的dll（修改之后毒霸云鉴定器仍然显示A是已知安全文件）。

把任意非原版dll的文件改名为C.dll，执行A，C.dll或者成功加载，或者加载失败，毒霸都不拦截。（此时目录中没有名字为B的dll）

在上一步的基础上，在文件夹中添加非原版的B.dll，执行A，毒霸拦截，选择允许，C.dll或者加载成功，或者加载失败，而此时B.dll并不加载。

yhys

说一些题外话，虽然实验结果对某人有利，但并不能说明某人自己的实验提供了足够的证据。某人自己的实验仍然只能证明事实在两者之中而无法区分。

有人对实验的逻辑进行质疑，本应该去改进实验，而某人却对提出质疑的人进行各种人身攻击，而且还反过来说别人“不要绕过事情再次针对本人”，说别人是“高级黑”。
我的几个回贴没有对某人的本人作任何评价，只是指出实验本身和所得出的结论之间的逻辑关系存在问题，我至今不明白我黑谁了。


还有，某人在自称“本帖毫无口水及主观判断”的帖子中，对几个回帖的人进行了不止一次的人身攻击。

另外在1、2楼，针对某区的版主以及官方狂打莫须有的预防针，以及发表针对更大范围的诸如“极少数粉丝又开始想绕开话题欲图水了此帖，请注意一点”的不实言论。

奇怪的是，某人对帖子中出现的诸如此类明显口水的言论却视而不见
在此引用几个

这个。。。
也太那个了。。。
“文件名”查杀？？？
改个文件名就过了？？？
那用户的安全从何而来？

正直的公司是不可能这么做的，做了是向某个公司学的~正直的公司是无辜的纯洁的

相信以上并不属于某人口中的“极少数粉丝”

只要爬一下楼，究竟是哪一方在口水很清楚。

我想说拉偏架也不带这么明显的，何况这只是单方面开火。

建议某人有能力的话管好某区的人，不要作只许州官放火，不准百姓点灯的事。

涩涩的猪

支持有理有据的讨论

seehere

支持测试

芙兰

2L的事情习惯就好了，反正你说不说都没人管

22667999

支持下~

6Zn

实事求是啊

jefffire

在完整的好压文件夹中放置修改过的HaoZipImgConvert.exe、空的haozip.dll、修改过的hooooo.dll，运行，拦截

这个haozip.dll压根没加载怎么也拦截？

yhys

jefffire 发表于 2012-3-12 12:09
这个haozip.dll压根没加载怎么也拦截？

反正实验结果就是这样…等金山官人解释

TTTAOa

  最喜欢看测评了！感谢分享你的结果