【测试】360木马防火墙【停】

显示全部楼层 · 发表于 2012-8-1 22:03:16

黑羽发表于 2012-8-1 21:56
稍等，钓鱼诱导输入密码并上传算过吗？

如果按测试来看，已经不算主防了，因为ND并非是非白即黑，而是按场景进行非白即黑的，对于普通的ND行为，是按库拦截和特征来拦截，所以类似特征的部分，而不是主防的部分
就比如卡巴的HTTP拦截这样的。

如果能按场景构造非白即黑的环境过了，也可以算过，但是这个场景的判断不能告诉你们～

显示全部楼层 · 发表于 2012-8-1 22:05:06

BootMgr 发表于 2012-8-1 22:03
如果按测试来看，已经不算主防了，因为ND并非是非白即黑，而是按场景进行非白即黑的，对于普通的ND行为， ...

我对这个木有兴趣，样本已经上传。

待会改下成绩

显示全部楼层 · 发表于 2012-8-1 22:15:31

leisong 发表于 2012-8-1 21:20
26号 39 42号这3个不是有拦截么，然后其他几个有的自动退出，有的貌似失效了，联网无其它动作；还有2个打 ...

囧~26号现在又拦了，39提示停止工作。42号运行好久之后提示了，可能当时没有提示和后来的样本弄混了。

显示全部楼层 · 发表于 2012-8-1 22:21:39

黑羽发表于 2012-8-1 22:15
囧~26号现在又拦了，39提示停止工作。42号运行好久之后提示了，可能当时没有提示和后来的样本弄混了。

我会把你的样本都测试一下，看看最终结果，如果没行为的话我会尽量分析一下。

显示全部楼层 · 发表于 2012-8-1 22:22:43

BootMgr 发表于 2012-8-1 22:21
我会把你的样本都测试一下，看看最终结果，如果没行为的话我会尽量分析一下。

谢谢，技术有限，就交给你了。

显示全部楼层 · 发表于 2012-8-1 22:24:11

支持，嘿嘿...

显示全部楼层 · 发表于 2012-8-1 22:25:28

leisong 发表于 2012-7-31 20:34
囧! 我已经去了？

去了又复活啦...呵呵......

显示全部楼层 · 发表于 2012-8-1 22:56:11

本帖最后由 BootMgr 于 2012-8-1 22:58 编辑

黑羽发表于 2012-8-1 22:22
谢谢，技术有限，就交给你了。

测试结果：

8号：僵尸程序，指令服务器目前不活动，无其他行为,重启后失效                                     结论：需要ND拦截
9号：有数字签名的样本，已经被拦截，自身有数字签名校验，楼主改动MD5后样本失效    结论：完全拦截
11号：有数字签名的样本，已经被拦截，自身有数字签名校验，楼主改动MD5后样本失效       结论：完全拦截
13号：同11号                                                                                                                   结论：完全拦截
14号，有界面，选择安装和勾选后下载，提示要两个多小时才能完成，因此放弃了                结论：无效样本
15号：Loader样本，无Loader下文件，因此单个样本是无效的                                              结论：无效样本
16号：同11号                                                                                                                   结论：完全拦截
21号：NirSoft的一个枚举Windows Product Key的小工具，非恶意程序                                  结论：无效样本
23号：同11号                                                                                                                   结论：完全拦截
28号：完全无动作的样本，似乎不是有效样本                                                                      结论：无效样本
30号：同15号                                                                                                                   结论：无效样本
28号：报错后，完全无动作的样本，似乎不是有效样本                                                       结论：无效样本
45号：纯钓鱼样本，对QQ无操作，无其它行为                                                                结论：需要ND拦截

除了两个样本，纯钓鱼和重启不上线的需要ND拦截外，其他或者是无效样本，或者是可以拦截的样本

其中9/11/13/16/23/30 这5个样本是有数字签名的样本，在数字签名正常的情况下是会被拦截的，楼主修改了MD5导致数字签名失效，由于此样本对自身有签名校验，因此样本失效，如果将样本的签名校验部分去除，会暴露出释放文件和注入EXPLORER行为，这些都是可以拦截的，因此这些样本是完全拦截的

最后结论：没发现过主防的样本，需要加强ND拦截。

显示全部楼层 · 发表于 2012-8-1 23:01:14

BootMgr 发表于 2012-8-1 22:56
测试结果：

改MD5的时候木检查样本是否有签名，这个谢谢MJ大叔发现

这个月会多加考验ND防护的样本，看看有木有进步

显示全部楼层 · 发表于 2012-8-1 23:10:20

还有测主防的，来围观。

[分享] 【测试】360木马防火墙【停】

评分

[分享] 【测试】360木马防火墙【 停】

评分

[分享] 【测试】360木马防火墙【停】