在360论坛看到一个相当有喜感的工作人员回复，难不成现在病毒真这样。。。。

jiexp

不过你可别看小360.
现在360的防御很强大!

zhq445078388

prawnliu 发表于 2013-3-7 17:21
那会也是现有的阴谋论
是有人说“哎？病毒是不是都是杀毒软件公司的人造的啊~~”
然后杀毒软件公司的人 ...

94介样~

prawnliu

chaoran 发表于 2013-3-7 17:54
那他说病毒见到360就自杀，那不是可以说1病毒害怕数字。2病毒跟数字有一腿先，我只不过是喜欢第2个说法而 ...

第一个问题，我没说你不能相信，你愿意怎么想那都是你的事情~我说的是阴谋论的东西没有讨论的意义~我告诉你没有，你也不信。你会让我拿证据，要明白：证“有”很容易，证“无”则是难上加难。所以我也不想多说就是了~
第二个问题，本来想解释解释，但既然这么说~其实我觉得我解释啥也都没意义了~你的出发点就是——360就是坏东西，只要和这个论点不相符的一切言论我都不信！即便全世界的人都证明我说的是对的，你都会觉得我和全世界所有人串通好了骗你一个~典型的“方舟子”模式的诡辩，我实在没兴趣奉陪~

以下，我从技术方面做最后一次解释——不是向你解释，是向大家解释。我知道你不会信服的~
扫描杀毒软件是否存在其实是件及其简单的事情，举个最常用的方法——进程名检测：
CreateToolHelp32Snapshot的API可以获取当前进程列表。
那么这一步你觉得拦截合适么？有许多软件都会获取进程列表，甚至有些代码水平烂的程序，如果需要保证自己不重复启动都会通过进程名检测来实现（不会用互斥体么……）——而且不要以为大公司的软件代码就很优秀~大公司代码也可能很挫的——Adobe那个漏洞百出的flash就是个例子~
如果这一步不能拦截这一点上，可以达成共识，那么后面就水到渠成了~
获取进程列表必然要逐个扫描并进行比对，不然他获取进程列表干啥呢？
所以如果上一步不拦，逐一获取进程名这一步必然也不能拦
那么后面针对进程名的字符串匹配操作必然也不能简单粗暴的直接拦截……

好~~我相信你会说：不是检测360么？看他在做字符串匹配的时候匹配360的进程名（360tray.exe）不就好了么？
OK~没问题~~
问题一：
你知道有多少程序会调用CreateToolHelp32Snapshot？茫茫多的~~
你知道有多少程序会调用字符串比较？几乎没有程序不用……
如果对这种级别的内存操作都做到每一步动作都监控，然后逻辑判断。呵呵~那没个高配的机器你还真用不了360~~
（别跟我说特征码里直接静态扫字符串，2010年以后我就很少见不加密的字符串了~都是加密过的~不动态跟踪内存绝对拿不到解密后的字符串）
问题二：
病毒会这么简单的比较么？
即便在内存里我都让你看不到“360tray.exe”的字符串你怎么办？
我比较每个进程名第一个字符是不是“3”
如果不是则看下一个进程，如果是，则看第二个字符是不是6……依次类推~
我甚至可以不这么走~我可以直接先看第二个字符是不是6，不是则看下一个进程
如果是，则看第四个字符是不是“t”
你怎么拦？
当然~能拦，动态跟踪内存动作，并每一步都记录，然后根据逻辑在必要的时候做字符串拼接处理
很好~~你该去换一台服务器了~记住，千万别选32G以下内存的，这么点内存根本不够用~CPU推荐4个以上，都要8核的~
问题三：
好吧~你弄了台高配的服务器来~
病毒很简单的做一个动作——memcpy
把内存里的进程名拷贝到另外一个地方做字符串比较——当然比较的时候还是上面那些混淆后的比较方法~
你怎么监控？
内存拷贝工作可是直接CPU指令完成的，什么杀毒软件都监控不了~你根本不知道他复制到哪里了~~
监控CPU可以吗？呵呵~理论上——注意：是——理·论·上——当然可以~~~
下面要做的事情，就是去电影院，复习一下“黑客帝国”了~~

最后还请记住：以上我说了这么大一串，还只是最简单的一种检测杀毒软件的方法
其他方法多得是~
另外：你见过哪个杀毒软件报过检测杀毒软件这个单一的行为？
你按照我上面给的方法自己写个检测卡巴进程的，检测到之后啥都别干直接退出，你看卡巴报毒么？
NOD32、Norton、红伞、Avast、金山、微点、火绒、费尔……你挨个试，你看哪个报毒？

tyma1

病毒很幽默、、、、

chengshiniu

用卡巴斯基 发表于 2013-3-2 00:37
病毒都能先检测到360而360检测不到病毒，这样的杀毒软.........哈哈！！

就是    我不会用的说飘过

prawnliu

chengshiniu 发表于 2013-3-8 13:33
就是    我不会用的说飘过

看你楼上的楼上
我的回复

chengshiniu

prawnliu 发表于 2013-3-8 14:20
看你楼上的楼上
我的回复

太长了 不想看  但是我始终不会使用360是不会变的

chinapker

不愧是明智之举 至少避免了暴露自己

3480071

这个牛，人人都装360，不就天下元毒了

zjz2010

现在的病毒都灰常机灵，一看苗头不对，就自杀了（不做俘虏）