不是说8.6版更新了ND嘛，为什么我在虚拟机测试里没提示啊

sky1987

peter08 发表于 2012-3-23 21:04

360好像也出过防黑墙，我一直以为只防端口扫描的

peter08

sky1987 发表于 2012-3-23 21:11

360的也防联网的.

我看了别的楼层的回复,说是黑白名单的问题.
显然不是这个问题.

你问的是实机运行控制端,虚拟机运行木马,为什么ND不会提示.我技术有限,不会解释原因,只能说实验结果.
这样测试是不会提示的,就算是病毒,是木马,联网也是不会提示的.也许是因为是同一台机器的缘故.

lvhaoran123

sky1987 发表于 2012-3-23 21:11

弱弱的问一个问题，虚拟机能不能联网？

sky1987

lvhaoran123 发表于 2012-3-24 18:20

明显能啊
都能连接出来了

prawnliu

sky1987 发表于 2012-3-23 19:35
你运行样本你会连到我这来的=。=
我岂不是在放病毒
sky1.ys168.com

确实防不住，已提交

prawnliu

sky1987 发表于 2012-3-24 21:41
明显能啊
都能连接出来了

知道问题出在哪里了，是这个样子的：
这个远控，单从网络行为上来说，ND是能拦截的。
但运行后确实不拦截，问题出在这里：

很显然，这个远控是注入到系统文件userinit中发挥作用的
注入这种动作是由主防的AD模块来负责拦截的
而且也确实拦截了，但被你放行了

之前我也说了，ND是主防的一部分
所以ND的前提是建立在充分信任主防AD模块的基础上的
故此，有AD负责全面拦截对白进程的注入
而ND自然就放心大胆的放行所有白进程了

也就是说，360针对这种类型的远控，就是要从AD层面上就拦截住
而如果这个程序不注入白进程，就是自身联网，那ND是可以拦截的
希望我解释的足够清楚了～

JillPal

prawnliu 发表于 2012-3-26 07:57
知道问题出在哪里了，是这个样子的：
这个远控，单从网络行为上来说，ND是能拦截的。
但运行后确实不拦 ...

要是这样算不算是个漏洞呢？利用AD的信任绕过ND这一点对于普通用户可能会起作用的。

sky1987

prawnliu 发表于 2012-3-26 14:57
知道问题出在哪里了，是这个样子的：
这个远控，单从网络行为上来说，ND是能拦截的。
但运行后确实不拦 ...

谢谢你的测试
不过请问一下，你是在两台实机上测试的吗？
我觉得ND的防御方式不是像你理解的那样
因为我看过几篇leisong大的测试贴，主防即使被过，ND还是会拦截的
个人还是觉得22楼所说的那样，是因为虚拟机的原因

prawnliu

sky1987 发表于 2012-3-26 15:17
谢谢你的测试
不过请问一下，你是在两台实机上测试的吗？
我觉得ND的防御方式不是像你理解的那样

虚拟机和实际之间互联测试的
只是说对于对于注入这一点来说是信任AD的
因为注入之后，suspend住进程之后再恢复，那时候你根本没法查出来是谁启动的他
那也就只能验证这个userinit本身的安全性了……

但并不是说ND对所有情况都是白进程放行
有很复杂的逻辑
所以别担心，如果这个是独立进程访问网络，ND是可以拦截的

prawnliu

JillPal 发表于 2012-3-26 15:10
要是这样算不算是个漏洞呢？利用AD的信任绕过ND这一点对于普通用户可能会起作用的。

有什么漏洞呢？AD已经报了的……
如果你说有某种方法骗取用户手动点击信任……
那也可以骗取用户点击ND的信任啊……