简简单单反火眼，让程序在火眼上没有行为出现的小测试

Flameocean

BootMgr 发表于 2012-8-22 16:45
反金山火眼太容易了。。。

我这里随便提供几个最简单、最基础的傻瓜级方法，只需要小学生编程水平，几行 ...

高手就是高手，哈哈，受教了

高压气瓶

BootMgr 发表于 2012-8-22 16:45
反金山火眼太容易了。。。

我这里随便提供几个最简单、最基础的傻瓜级方法，只需要小学生编程水平，几行 ...

实际上对抗方面的问题，火眼的后续版本会进行针对性的开展，只是目前还没有针对性的出现反火眼的病毒（影响力目前还远远未到），这一点可以从我们开放的程度看出，我们并没有想去隐藏一些什么，而是更多的暴露问题。
特别是最初给一批安全爱好者用的时候，我们的开放程度是超于一般产品的，这一点火眼的初期用户应该是有体会的，当然，我们对安全爱好者的素质和品质也是给予了最大的信任。认为大家会第一时间将问题反馈给我们，然后通过快速补充增强，达到打造真正的用户安全环境的目的，火眼的绝大多数用户也都是这样做的。在此我也表示深深的感谢。
如果火眼真的成为大家日常鉴定文件安全的一种习惯，相信这种病毒的对抗会出现(那时候会不会火眼的环境就变成了安全环境了)，真正的安全需要大家携手来努力，相信没有能过一步做到完美的产品，感谢你的反馈，我私下给了你我的联系方式，欢迎加入到后面的补充增强的工作中来，为用户安全出一份力。
对应的对抗方面的事情，我们后续会开展，本身是有预案的，QQ交流吧。

Lintel-TR

感谢楼上高压气瓶的解答！

怎么样了

高压气瓶 发表于 2012-8-22 18:12
实际上对抗方面的问题，火眼的后续版本会进行针对性的开展，只是目前还没有针对性的出现反火眼的病毒（影 ...

天下根本不存在任何完美无缺的产品.  就算是修改了BUG , 绝对还会有新的BUG出现,  这都不奇怪


关键是那个CD-KEY.  这个问题似乎与你们的产品本身的技术高低没什么关系

BootMgr

再发几个特征：

(6).驱动模块判断法金山火眼的系统驱动列表里存在xtools.sys和kxmon.sys ，应该就是火眼的监控和功能驱动了，简单地通过NtQuerySystemInformation就能枚举并反金山火眼

(7).注入DLL模块法
金山火眼会向待测进程注入一个DLL: umon.dll ，因此通过GetModuleHandle("umon.dll") ， 一行代码就可以反金山火眼

(8).符号链接法
金山火眼的驱动会建立一个名为“HY::ActMon”的 符号链接， 因此简单地通过 CreateFile "\\.\HY::ActMon“， 一行代码就可以反金山火眼

(9).VMWARE硬件特征法
其实金山火眼是基于 VMWARE的，VMWARE是公开的，可检测的特征也很多，比如现在金山火眼系统的驱动列表中有vmscsi.sys ，  硬盘和光盘驱动器的设备名里有VMWARE IDE的硬件标识等等，很多

除了硬件特征法，检测VMWARE，这里方法就非常多了，金山火眼虽然启用了VT(闭掉了redpill等方法），并且关闭了vmware.backdoor，但是只能防几年前早就公开的老掉牙方法，稍微变换一下其它方法就能别检测 出来了

大金鱼先生

怎么样了 发表于 2012-8-22 17:53
反不反的其实无所谓 ,     真反假反更无所谓

关键是那个CD-KEY.       乃可能吓着人家了

那个key在我另外一个帖子中被枚举出来后我吃了一惊··尼玛不就是个盗版吗···

大金鱼先生

怎么样了 发表于 2012-8-22 18:20
天下根本不存在任何完美无缺的产品.  就算是修改了BUG , 绝对还会有新的BUG出现,  这都不奇怪

不，从金山火眼服务器上找到的QQ的相册里还是H照片·····

怎么样了

大金鱼先生 发表于 2012-8-22 19:50
那个key在我另外一个帖子中被枚举出来后我吃了一惊··尼玛不就是个盗版吗···

看金山官人的回复并没有对此否认

产品在技术上有BUG,    这都不奇怪. 都很正常

不过,    有些问题或BUG就并非是技术问题  

大金鱼先生

怎么样了 发表于 2012-8-22 20:09
看金山官人的回复并没有对此否认

产品在技术上有BUG,    这都不奇怪. 都很正常

http://fireeye.ijinshan.com/anal ... 3ba229e02ff961ec400
防纯表补丁.exe

Madook

怎么样了 发表于 2012-8-22 20:09
看金山官人的回复并没有对此否认

产品在技术上有BUG,    这都不奇怪. 都很正常

这个是故意而为之的吧，呵呵~