关于金山毒霸拦截利用白文件加载非法dll文件的一个实验

显示全部楼层 · 发表于 2012-3-12 12:25:49

本帖最后由 jefffire 于 2012-3-12 12:28 编辑

yhys 发表于 2012-3-12 12:16
反正实验结果就是这样…等金山官人解释

2.毒霸的拦截点不是在dll加载阶段，而是在创建进程阶段（可以证明不是文件名查杀的关键点）

从cutemole的说法来看，我猜测，应该是先对即将创建的进程文件进行微特征匹配，如果确定为已发现的白利用样本，则立刻对该样本所在目录的特定名称dll进行扫描，若发现未知同名dll立即拦截。

这就可以解释leisong对原样本加壳后毒霸不拦截，因为微特征被破坏。也可以解释为什么你修改了样本，但是有haozip.dll还是拦截，因为你仅对样本修改了一点，没有破坏微特征。

显示全部楼层 · 发表于 2012-3-12 12:35:35

jefffire 发表于 2012-3-12 12:25
从cutemole的说法来看，我猜测，应该是先对即将创建的进程文件进行微特征匹配，如果确定为已发现的 ...

有可能。但是这个方法有问题，比如我的实验里把免杀过的恶意软件命名为hooooo.dll应该就可以用白文件加载了，毒霸不拦截。

显示全部楼层 · 发表于 2012-3-12 12:38:51

yhys 发表于 2012-3-12 12:35
有可能。但是这个方法有问题，比如我的实验里把免杀过的恶意软件命名为hooooo.dll应该就可以用白文件加载 ...

这样白文件就不是白文件了，而是灰文件了，失去了过主防的意义。毒霸不拦截，其实问题不出在主防上，而是微特征本身的问题，不能保证文件整体完整性。

显示全部楼层 · 发表于 2012-3-12 12:44:51

jefffire 发表于 2012-3-12 12:38
这样白文件就不是白文件了，而是灰文件了，失去了过主防的意义。毒霸不拦截，其实问题不出在主防上，而 ...

把主程序修改之后云鉴定器还是显示已知安全文件的。
1L图

保证完整性当然就直接MD5了，识别白文件不用MD5而用微特征，应该也是出于广谱方面的考虑。

貌似不改变现有的微特征识别主程序的方式，把拦截方式改为检测程序运行时真正加载的dll也是能解决这个问题的。

显示全部楼层 · 发表于 2012-3-12 13:15:08

yhys 发表于 2012-3-12 12:44
把主程序修改之后云鉴定器还是显示已知安全文件的。
1L图

拦截dll加载，cuemole说有较大兼容性问题。不过现在360已经运用了。看效果吧。

显示全部楼层 · 发表于 2012-3-12 13:17:52

支持测试

显示全部楼层 · 发表于 2012-3-12 13:37:45

本帖最后由 z13667152750 于 2012-3-12 13:39 编辑

leisong不就是楼主的意思吗?

对于已知的可利用dll文件进行白名单校验,只要是同名的非白名单dll即拦截

注意:dll改名就无法加载了

如果楼主认真爬楼就可以看到,360的白羊都说过金山的拦截方式没有问题

leisong真正在意的是,这种拦截方式只能针对已经被曝光的dll加载漏洞其拦截左右,没有被曝光或者搜集分析到对应利用样本就无能为力了

显示全部楼层 · 发表于 2012-3-12 15:03:40

支持测试

显示全部楼层 · 发表于 2012-3-12 15:36:04

都在黑盒测试。没人逆一下dll加载拦截点的代码？

显示全部楼层 · 发表于 2012-3-12 16:50:46

我只想知道最后的结论是什么

[金山] 关于金山毒霸拦截利用白文件加载非法dll文件的一个实验