小质疑下360拦截“暴雷”的原理

显示全部楼层 · 发表于 2012-6-18 23:33:02

本帖最后由 newcenturysun 于 2012-6-19 09:59 编辑

这几天在研究360暴出的暴雷漏洞网上也有代码了于是拿“360防暴雷专版”测试了下果然能拦住并且明显的提示我们“暴雷”漏洞。出于好奇，改了改网上流传的代码缩减了一下发现这样虽然没触发漏洞但却触发了360的报警
代码很简单如下：
<object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id="fakealert"></object>
<script language="Javascript">
document.getElementById("fakealert").object.definition;
</script>
这样360就弹窗咯

简单逆了下360 发现360好像对拦截的函数没做任何检查直接就报了 这样是否合适呢会不会产生大量误报呢？
本人才疏学浅只是质疑下大牛就不要拍砖了哈

显示全部楼层 · 发表于 2012-6-18 23:54:57

权限高了，没必要设权限，大牛进不来

显示全部楼层 · 发表于 2012-6-19 00:02:44

和以前讨论非正确的pe文件但是包含恶意代码(无法运行),杀毒软件是否应该报是一样的道理,鞭尸又不会造成误报

只要正常页面不可能会包含这样的代码就没关系

显示全部楼层 · 发表于 2012-6-19 00:07:27

z13667152750 发表于 2012-6-19 00:02
和以前讨论非正确的pe文件但是包含恶意代码(无法运行),杀毒软件是否应该报是一样的道理,鞭尸又不会造成误报 ...

我那个完全是正常的代码不属于“尸体” 那是这个对象的一个属性只要获取这个属性 360就报包括正常获取的情况

显示全部楼层 · 发表于 2012-6-19 00:50:42

本帖最后由 z13667152750 于 2012-6-19 00:52 编辑

newcenturysun 发表于 2012-6-19 00:07
我那个完全是正常的代码不属于“尸体” 那是这个对象的一个属性只要获取这个属性 360就报包括正常获取 ...

关键是正常的网站有人会用这段代码吗?

360实际上就是把这个漏洞的利用代码入库了

显示全部楼层 · 发表于 2012-6-19 00:55:12

另外bootloader的权限只有5,你却设置了权限为10...

显示全部楼层 · 发表于 2012-6-19 08:23:53

别设置权限了，mj进不来了~

显示全部楼层 · 发表于 2012-6-19 08:27:26

大牛们都没空论坛灌水，一般权限都不高。
特别是MJ还被封了好多次。

显示全部楼层 · 发表于 2012-6-19 09:05:31

技术上的不太明白

显示全部楼层 · 发表于 2012-6-19 09:25:39

这个，暂时的防御方法吧，连微软都没出方法呢，防住就好。不过楼主讲的也有道理，能把360给逆向了，楼主人才啊

[讨论] 小质疑下360拦截“暴雷”的原理