【转】火眼更新2.0.4.1a[增强对“反火眼”类程序的处理]感谢大金鱼等网友反馈

宵河

imetoo 发表于 2012-8-23 12:47
不都是 90%以上应该有
另外想问下你从哪里得到的每天有几百万360用户中毒

360自己的新闻呢

zhq445078388

GLOBALROOT 发表于 2012-8-23 11:49
这里谈到的就是它连分析行为都很难做对

记得很多人利用各种检测方式检测是否为人工分析环境

如当初我08年用过的办法:

进程名/HIPS检测od等软件
通过进程名/窗口名检测是否存在HIPS
(ps:用findwindow会被抓取到 最好的办法是EnumWindows得到文本然后crc匹配法)

状态标记检测自身debug状态(一直是用其他人的DLL的方法..自己还没自己写过.)

扫描自身内存法检测有没有计划外线程 是否存在CCh特征
(真他喵的累  我就会rtlcopymemory一段一段复制匹配.)

通过加驱在内核扫描OD驱动等特征的方式来检测调试器
(.学会写驱后才想到的 没用过)

通过抛出异常HTTP请求判断与正常HTTP请求速度差异来判断是否存在抓包解析器等
(很多抓包器会尝试解析数据包 如果是计划外的数据包 解析会超时丢弃 肯定比正常的时间长)

利用百度/谷歌/搜搜 快照来云控行为法绕域名白名单检测
(很多人会过滤掉白请求.因为看着烦 嘿嘿)

利用将恶意数据包混淆在P2P数据包中的办法来发送硬件及其他信息
(想从海一般的数据包里面找到 累死去吧..)

利用三组件三服务器的联动法绕单文件人工分析和进程链检测
(引导用户通过IE挂马 文件捆绑 社工 手动分别启动三个组件 组件间用三个不同IP的服务器沟通..一直没付诸实现)

利用远程线程启动其他木马组件法断开进程链联系
(貌似现在不行了)

应该还有更多了

532970124

流星街 发表于 2012-8-23 12:13
感謝個大高手的幫助火眼改進~

都恨铁不成钢啊    不过是不是朽木是不是孺子就不知到了

LSCMH

GLOBALROOT 发表于 2012-8-23 10:06
你看，我说爆点料就会被修改啊~可惜都是治标不治本，只能防最简单的一行代码搞定法，稍微换点方法就不行了啊 ...

还是原来的霸气，还是原来的头像，全卡饭销量领先的MJ大牛 改名为“GLOBALROOT”~

怎么样了

从科普上来看,     数字推出这一款功能并不是难事.   

而老周做事一切从实际出发,   有市场需要的,   组织人力搞技术攻关也要拿出来给用户免费使用.

如果没什么市场前景的,    即使掌握技术也懒得去做

理念不同

公正妹

GLOBALROOT 发表于 2012-8-23 10:06
你看，我说爆点料就会被修改啊~可惜都是治标不治本，只能防最简单的一行代码搞定法，稍微换点方法就不行了啊 ...

没人气送，精神支持一下。

公正妹

宵河 发表于 2012-8-23 12:29
我不是技术流，但有个常理，按360官方的说法，国内有4亿用户装了360安全卫士，但每天还是有数以百W的用户 ...

哪来的数据？

公正妹

imetoo 发表于 2012-8-23 12:39
你是没见过小白是吧 有的360提示是病毒还能有人打开 不中毒就神了

别说是小白了，大白都有可能中毒，哈哈。
有时候为了试一下某些奇怪的程序，有些人宁愿关掉360来试。
我都做过这样的蠢事。

公正妹

笑红尘自古多情 发表于 2012-8-23 13:47
做看MJ的言论

官方啥的宣传直接无视

来卡饭，不就是为了看大牛们的科谱嘛，反正如果没大牛出现，就不会上卡饭了。

qwe12301

唉，对抗无止尽。其实就目前来说，对抗火眼似乎没有太大意义，因为本身就未普及。
任何一个开放的东西，必然会经历一个长久的技术对抗，这是做开发的人都能明白的一个道理。
反之，如果不开放，仅作内部人员使用以及小众的安全爱好者的分析工具，火眼的对抗强度就大大减小了，但这样又违背了火眼开发的初衷