360为何面对白加黑已无需拉黑、不怕免杀、无需联动？？？本小白来试着解读，，，，

guidanba

如题：不知从什么时候起，好像是16号样本起，大牛若跟帖的话，都直接习惯性的复制粘贴这一句话以回复，即360云主防行为防御可以防御、透过云端动态拦截系统，无需拉黑，不怕免杀，全网所有版本生效，无需联动。

本小白今天特来试着解说下为何360无需拉黑、不怕免杀、无需联动。

曾记得大牛说过360对付此类样本的防御几乎都是跟着网购木马作者的脚步更新的，因为网购木马作者一旦开始研究新的有数字签名的白的exe文件，并开始利用它的加载dll文件的某些漏洞时，网购木马作者的电脑也肯定安装着最新版的360卫士，然后测试，看这次这个有数字签名的白的exe文件加载一个黑dll时，360拦不拦，当时360应该是没有拦住的，但随后，此数字签名的白的exe文件和一个安全暂时未知的dll文件（即黑dll）开始不只在网购木马作者的电脑出现，而出现在其他电脑，即开始具有传播特性时，360就应该是能直接拦了，就会直接报数字签名的白的exe文件是Trojan.Generic木马。
说到这，360防白加黑就是应该直接防了一个白加黑木马的最明显的模式，即云端一旦捕获到哪个有数字签名的白的exe文件有可能被利用时，随即云端标记了此白exe文件，然后若发现它出现在其他电脑（即开始具有传播特性时），且通过本地客户端的卫士或（360杀毒）发现此exe文件运行时，它所在的同一路径下有既不在云端白名单库又不在云端毒库（即暂时安全未知）的dll文件（或许不一定是dll后缀），且此dll文件（或许不一定是dll后缀）有被修改过的痕迹时，就直接报数字签名的白的exe文件是Trojan.Generic木马。

有人担心这样报白不报黑会不会误杀，本人认为不会，360此时报Trojan.Generic，须有两个条件，1、同一路径下有既不在云端白名单库又不在云端毒库（即暂时安全未知）的dll文件（或许不一定是dll后缀）。2、此dll文件（或许不一定是dll后缀）有被修改过的痕迹。

综上：只要云端捕获到哪个有数字签名的白的exe文件有可能被利用时，360即可防御，对于到时它传播时同一路径下是什么样的dll文件则一概不管，只要它满足安全未知和被修改过两个条件。

这样一来，就做到了，无需拉黑dll文件。dll文件若被拉黑后又被免杀的话，只要免杀后依旧是未知文件即可，这样360也不怕免杀。无需联动即应指的是就算所有边界防御被过，只要到时运行此白文件时，客户端电脑上安了卫士或360杀毒，只要云安全中心连接正常，透过云端的有可能被利用的白exe文件的标记的信息传到客户端，360即可防御。


如果说对了，大家就捧个场，如果说错了，大牛请你言下留情。

guidanba

至于360自己的白exe文件被利用时，360漏防一些，是因为360当时应该是对自己的白exe文件有可能被利用时，适用此防御模式时，规则不严。

LockeHIPS

云端交互的说的差不多，大概意思能对。
不过云端交互有更多的精准命中特征，根据进程运行的环境进行更多的判断，不只是说一个白的程序运行有恶意DLL就报。

另外新版还有压缩包联动，环境识别，全局行为特征判断等，不依靠云端交互也可以从多个方面消灭网购木马

LockeHIPS

guidanba 发表于 2012-4-20 10:46
至于360自己的白exe文件被利用时，360漏防一些，是因为360当时应该是对自己的白exe文件有可能被利用时，适用 ...

360自己的白EXE利用当时说了是一个云端交互判断上的问题，上周就已经全网升级修复了～

黑骑士

据说联动才刚起步没动就吧？

guidanba

LockeHIPS 发表于 2012-4-20 10:53
云端交互的说的差不多，大概意思能对。
不过云端交互有更多的精准命中特征，根据进程运行的环境进行更多的 ...

期待网购木马作者能突破白加黑的模式，找的一个新模式过360，因为目前看白加黑已被360死死的抓住了最明显的模式，防就轻松多了。

进程判断是应该的，电脑突然多了一两个进程值得进程防御关注。
环境识别应该就是识别是不是网购环境吧，

sanhu35

分析的很透彻，我觉得有道理

guidanba

LockeHIPS 发表于 2012-4-20 10:54
360自己的白EXE利用当时说了是一个云端交互判断上的问题，上周就已经全网升级修复了～

我只是稍微补充一下。

guidanba

黑骑士 发表于 2012-4-20 10:57
据说联动才刚起步没动就吧？

你这话有语病。

guidanba

sanhu35 发表于 2012-4-20 10:58
分析的很透彻，我觉得有道理

多谢捧场。