楼主: 大金鱼先生
收起左侧

[金山] 简简单单反火眼,让程序在火眼上没有行为出现的小测试

  [复制链接]
Flameocean
发表于 2012-8-22 17:59:30 | 显示全部楼层
BootMgr 发表于 2012-8-22 16:45
反金山火眼太容易了。。。

我这里随便提供几个最简单、最基础的傻瓜级方法,只需要小学生编程水平,几行 ...

高手就是高手,哈哈,受教了
高压气瓶
发表于 2012-8-22 18:12:16 | 显示全部楼层
BootMgr 发表于 2012-8-22 16:45
反金山火眼太容易了。。。

我这里随便提供几个最简单、最基础的傻瓜级方法,只需要小学生编程水平,几行 ...

实际上对抗方面的问题,火眼的后续版本会进行针对性的开展,只是目前还没有针对性的出现反火眼的病毒(影响力目前还远远未到),这一点可以从我们开放的程度看出,我们并没有想去隐藏一些什么,而是更多的暴露问题。
特别是最初给一批安全爱好者用的时候,我们的开放程度是超于一般产品的,这一点火眼的初期用户应该是有体会的,当然,我们对安全爱好者的素质和品质也是给予了最大的信任。认为大家会第一时间将问题反馈给我们,然后通过快速补充增强,达到打造真正的用户安全环境的目的,火眼的绝大多数用户也都是这样做的。在此我也表示深深的感谢。
如果火眼真的成为大家日常鉴定文件安全的一种习惯,相信这种病毒的对抗会出现(那时候会不会火眼的环境就变成了安全环境了),真正的安全需要大家携手来努力,相信没有能过一步做到完美的产品,感谢你的反馈,我私下给了你我的联系方式,欢迎加入到后面的补充增强的工作中来,为用户安全出一份力。
对应的对抗方面的事情,我们后续会开展,本身是有预案的,QQ交流吧。

评分

参与人数 1人气 +1 收起 理由
夜ㄝ殇 + 1 如果每个金山人能像这样多好

查看全部评分

Lintel-TR
发表于 2012-8-22 18:18:09 | 显示全部楼层
感谢楼上高压气瓶的解答!
怎么样了
发表于 2012-8-22 18:20:53 | 显示全部楼层
高压气瓶 发表于 2012-8-22 18:12
实际上对抗方面的问题,火眼的后续版本会进行针对性的开展,只是目前还没有针对性的出现反火眼的病毒(影 ...

天下根本不存在任何完美无缺的产品.  就算是修改了BUG , 绝对还会有新的BUG出现,  这都不奇怪


关键是那个CD-KEY.  这个问题似乎与你们的产品本身的技术高低没什么关系

BootMgr
发表于 2012-8-22 18:48:02 | 显示全部楼层
本帖最后由 BootMgr 于 2012-8-22 19:11 编辑

再发几个特征:

(6).驱动模块判断法金山火眼的系统驱动列表里存在xtools.sys和kxmon.sys ,应该就是火眼的监控和功能驱动了,简单地通过NtQuerySystemInformation就能枚举并反金山火眼

(7).注入DLL模块法
金山火眼会向待测进程注入一个DLL: umon.dll ,因此通过GetModuleHandle("umon.dll") , 一行代码就可以反金山火眼

(8).符号链接法
金山火眼的驱动会建立一个名为“HY::ActMon”的 符号链接, 因此简单地通过 CreateFile "\\.\HY::ActMon“, 一行代码就可以反金山火眼

(9).VMWARE硬件特征法
其实金山火眼是基于 VMWARE的,VMWARE是公开的,可检测的特征也很多,比如现在金山火眼系统的驱动列表中有vmscsi.sys ,  硬盘和光盘驱动器的设备名里有VMWARE IDE的硬件标识等等,很多

除了硬件特征法,检测VMWARE,这里方法就非常多了,金山火眼虽然启用了VT(闭掉了redpill等方法),并且关闭了vmware.backdoor,但是只能防几年前早就公开的老掉牙方法,稍微变换一下其它方法就能别检测 出来了
大金鱼先生
 楼主| 发表于 2012-8-22 19:50:39 | 显示全部楼层
怎么样了 发表于 2012-8-22 17:53
反不反的其实无所谓 ,     真反假反更无所谓

关键是那个CD-KEY.       乃可能吓着人家了

那个key在我另外一个帖子中被枚举出来后我吃了一惊··尼玛不就是个盗版吗···
大金鱼先生
 楼主| 发表于 2012-8-22 19:53:12 | 显示全部楼层
怎么样了 发表于 2012-8-22 18:20
天下根本不存在任何完美无缺的产品.  就算是修改了BUG , 绝对还会有新的BUG出现,  这都不奇怪

不,从金山火眼服务器上找到的QQ的相册里还是H照片·····
怎么样了
发表于 2012-8-22 20:09:38 | 显示全部楼层
大金鱼先生 发表于 2012-8-22 19:50
那个key在我另外一个帖子中被枚举出来后我吃了一惊··尼玛不就是个盗版吗···


看金山官人的回复并没有对此否认

产品在技术上有BUG,    这都不奇怪. 都很正常

不过,    有些问题或BUG就并非是技术问题  

大金鱼先生
 楼主| 发表于 2012-8-22 20:11:37 | 显示全部楼层
怎么样了 发表于 2012-8-22 20:09
看金山官人的回复并没有对此否认

产品在技术上有BUG,    这都不奇怪. 都很正常


http://fireeye.ijinshan.com/anal ... 3ba229e02ff961ec400
防纯表补丁.exe
Madook
发表于 2012-8-22 20:43:10 | 显示全部楼层
本帖最后由 Madook 于 2012-8-22 20:45 编辑
怎么样了 发表于 2012-8-22 20:09
看金山官人的回复并没有对此否认

产品在技术上有BUG,    这都不奇怪. 都很正常


这个是故意而为之的吧,呵呵~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-4 14:59 , Processed in 0.104078 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表