【转】火眼更新2.0.4.1a[增强对“反火眼”类程序的处理]感谢大金鱼等网友反馈

GLOBALROOT

李白vs苏轼 发表于 2012-8-23 10:42
我5月4号提交的那玩意，他们都分析错了，，，别说这些了 唉

他们只补了我提的课程的一半，你也要手把手教会他们才会改啊

vmware/ virtual pc /virtualbox/KVM（真的KVM，不是金山那个假的噱头），这些公开的虚拟机都可以在开了VT的模式下被轻易检测，只要懂得VT会看代码就能发现很多方法

不过话说回来，金山有人懂VT吗

GLOBALROOT

李白vs苏轼 发表于 2012-8-23 10:44
不是没引起重视

是觉得太简单 很无聊 提都不想提。。。

＂内部提交＂亮了

大金鱼先生

李白vs苏轼 发表于 2012-8-23 10:41
默默的路过，发现还是没发现
http://fireeye.ijinshan.com/analyse.html?md5=3f8e68d454f01a7ba0667b45522 ...

这个是神马原理···

李白vs苏轼

GLOBALROOT 发表于 2012-8-23 10:47
＂内部提交＂亮了

想太多了你

就是有一个反馈群

刚开始没几个人 就在里面提交咯


现在金山的问题我也懒得反馈了

因为发现都没人鸟 算拉

大金鱼先生

李白vs苏轼 发表于 2012-8-23 10:44
不是没引起重视

是觉得太简单 很无聊 提都不想提。。。

我怀疑到目前为止看下进程查查360sd.exe和kxetray.exe还有dnf.exe是不是记事本就能判断····

fly5

大金鱼先生 发表于 2012-8-23 10:52
我怀疑到目前为止看下进程查查360sd.exe和kxetray.exe还有dnf.exe是不是记事本就能判断····

应该隐藏了吧

GLOBALROOT

大金鱼先生 发表于 2012-8-23 10:52
我怀疑到目前为止看下进程查查360sd.exe和kxetray.exe还有dnf.exe是不是记事本就能判断····

方法太多，我个人预测他把这些所有查查进程查查文件的问题都补完了，以金山的水平至少也得三个月到半年

然后就可以利用他补这些漏洞所带来的漏洞指纹，也就是太极大法，借力打力，补这种漏洞最少也要半年，以金山的水平甚至可能永远补不了

类似的方法还有系统指纹法，再猥琐点的病毒实战可以用网络指纹法，这个是更高级的几乎是无解的而且方法很多，这些方法都用过一遍（就不指望金山能改了），最后还可以利用沙盘本身监控指纹的方法，这个也很难解

最后才需要用到针对虚拟机本身的攻击方法，模拟漏洞算是大招了，还有小招比如虚拟机后门等（不是已经被闭掉的vmware backdoor)，每个招数里又可以用太极大法：反检测机制本身导致被检测，无穷无尽

大金鱼先生

GLOBALROOT 发表于 2012-8-23 11:01
方法太多，我个人预测他把这些所有查查进程查查文件的问题都补完了，以金山的水平至少也得三个月到半年
...

呵呵，我充分怀疑凭借金山那种做完一样丢掉一样的速度能补完查查文件找找进程的就谢天谢地了····

GLOBALROOT

大金鱼先生 发表于 2012-8-23 11:04
呵呵，我充分怀疑凭借金山那种做完一样丢掉一样的速度能补完查查文件找找进程的就谢天谢地了····[:34 ...

半途而废的人是幸福的，他没见过网络法的可怕

我爆个料，举个最简单的没技术含量病毒实战网络猥琐大法过沙盘的做法：

病毒通过下载传播，下载的时候服务器记录所有下载者ip，病毒本身无任何恶意代码，恶意代码放在服务器上用ip加密，运行后从服务器上取加密后恶意代码用本地ip解密，执行

这时候拿样本去沙盘里跑你跑出个花来你也跑不粗行为啊~
没任何技术含量方案完杀一切在线沙盘~还想和本地结合，那简直是痴人说梦了

这种方法变换形式很多，其实国内早就流行的jpg loader木马就是类似的思路了

再换一下形式比如病毒体内有恶意代码，但是是加密的，服务器在每次下载时自动根据下载者ip扔出加密的样本，甚至下载服务器本身都可以通过js识别用户环境然后和执行环境自动匹配~方法太多太多了

再启发一下，现在其实可以利用火眼所谓的智能判断上搞笑的实现机制的不靠谱性，让火眼给出完全相反的结论~

李白vs苏轼

GLOBALROOT 发表于 2012-8-23 11:13
半途而废的人是幸福的，他没见过网络法的可怕

我爆个料，举个最简单的没技术含量病毒实战网络猥琐大法 ...

火眼一直是断网的 亲