收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 以今天样本区那个远控为例,其实火绒对未知白+黑样本并 ...
123下一页
返回列表 发新帖
楼主: vm001
 收起左侧

[讨论] 以今天样本区那个远控为例,其实火绒对未知白+黑样本并无拦截作用,望官方改进

[复制链接]
liangxy
头像被屏蔽
发表于 2013-3-10 18:19:58 | 显示全部楼层
To_c_c_i_. 发表于 2013-3-10 16:12
很奇怪的的 是你为什么要关闭实时监控。难道 你认为实时监控关闭后火绒被过就说明漏了吗,还有安装你这个思 ...

为什么不关闭实时监控?这是仿照官人的测试动作!另外
难道 你认为实时监控关闭后火绒被过就说明漏了吗
这句话我认为容易引起歧义:过掉火绒实时监控的病毒不在少数吧?如果 有一个病毒,火绒扫描无法发现,运行后火绒不能拦截,难道不算漏么?
回复

举报

yusup
发表于 2013-3-10 19:25:54 | 显示全部楼层
火绒的墙怎么样?
回复

举报

To_c_c_i_.
头像被屏蔽
发表于 2013-3-11 10:10:58 | 显示全部楼层
liangxy 发表于 2013-3-10 18:19
为什么不关闭实时监控?这是仿照官人的测试动作!另外
这句话我认为容易引起歧义:过掉火绒实时监控的病 ...

关键引用官人一句话火绒是主防类 不是杀毒软件,只要未知行为能防就可以。如果你要求可以查杀那么用杀毒软件去
回复

举报

To_c_c_i_.
头像被屏蔽
发表于 2013-3-11 10:12:34 | 显示全部楼层
liangxy 发表于 2013-3-10 18:19
为什么不关闭实时监控?这是仿照官人的测试动作!另外
这句话我认为容易引起歧义:过掉火绒实时监控的病 ...

还有此样本测试未知行为可以报毒,能防住,火绒是主打HIPS ,不是主打扫描的
回复

举报

duanmeng1990
发表于 2013-3-11 10:38:55 | 显示全部楼层
这个远控相当火呀,要QB
回复

举报

vm001
 楼主| 发表于 2013-3-11 10:40:18 | 显示全部楼层
To_c_c_i_. 发表于 2013-3-11 10:12
还有此样本测试未知行为可以报毒,能防住,火绒是主打HIPS ,不是主打扫描的

我顶楼说的很清楚了,还抱住火绒行为能防住,防个毛啊
回复

举报

china_killer
发表于 2013-3-11 11:00:22 | 显示全部楼层
本帖最后由 china_killer 于 2013-3-11 11:07 编辑
vm001 发表于 2013-3-11 10:40
我顶楼说的很清楚了,还抱住火绒行为能防住,防个毛啊


现在火绒文件就报病毒~~~ 我们找时间处理下行为分析的网络数据“流态”还原吧。。火绒的HTTP协议分析就是流态分析地~~当时就是考虑到有“小黑黑”拆数据包~~

   有兴趣的可以 用火绒剑看了下,这个样本把远控链接协议通过拆散了的方式发送了。。。。
【可以过360,金山的防黑墙,及火绒新处理的GHOST后门】

PS:
     至少说明这个改这个样本的人,不是简单的BIN免杀,而应该是有源代码~~~
奇怪的是,有源码了,还不免杀的彻底些??火绒监控都还能报毒呀~~【太着急想证明过行为?】


回复

举报

vm001
 楼主| 发表于 2013-3-11 11:12:33 | 显示全部楼层
本帖最后由 vm001 于 2013-3-11 11:16 编辑
china_killer 发表于 2013-3-11 11:00
现在火绒文件就报病毒~~~ 我们找时间处理“流态”还原吧。。火绒的HTTP协议分析就是流态分析地~~
当时 ...


这样吧,通过样本的手法来看,这个样本还是买来的,他病没有源码
而且释放到baofeng目录下的远控dll从头出来那时起到现在就没过过金山和360杀毒的文件监控(但是必须要开启QVM监控)

而这个换了个手法的目的是过金山和360主防,我们可以看到很多普通用户一般没开金山的标准监控,360没开QVM监控,这样他就有可乘之机,过掉主防

对于火绒有2个方面,一个是火绒如果用加壳这种方法免杀肯定不行,另一个就是火绒不值得的作者去免杀(免杀你有啥用,对不?)

最后说起这个,之前和你提过,火绒的联网拦截只能叫做提示,并没有告诉用户正确的处理方式,还处于一个传统防火墙的层面,这一点不管你承认不承认都是需要改进的

还有过掉金山的防黑和360ND的原因不是协议问题,是使用了静态IP
回复

举报

china_killer
发表于 2013-3-11 11:17:53 | 显示全部楼层
本帖最后由 china_killer 于 2013-3-11 11:22 编辑
vm001 发表于 2013-3-11 11:12
这样吧,通过样本的手法来看,这个样本还是买来的,他病没有源码
而且释放到baofeng目录下的远控dll从 ...


高手呀~~


该调整就得调整!


还有金山,360靠静态IP????这个太刺激了,我真不敢相信·~~~~~

vm001 你咋看出来它们是静态IP报的???
回复

举报

vm001
 楼主| 发表于 2013-3-11 11:36:02 | 显示全部楼层
本帖最后由 vm001 于 2013-3-11 11:40 编辑
china_killer 发表于 2013-3-11 11:17
高手呀~~


具体的咱么有分析过,咱也分析不了...
但是从防御这个做法上如果是我做这个,我也会采用金山和360的方式
即协议---动态域名--黑IP拦截
这样可能会出现相当一部分误报吧,不过可利用白名单纠正这点

对于传统那些这个远控了那个远控了的,一个单纯的exe这类,他们都应该分析过协议,可以在可掌控下做到准确拦截..
但是作者不是傻子,现在这种白加黑远控,联网的时候首先会访问动态域名,然后连接匹配到远程计算机控制端,这个规律就是一个是否拦截的确认标准吧....这里金山 和360一般采用的是动态域名拦截方式,所以当白+黑木马使用了静态IP,这样就是直接去连接一个IP,并没访问动态域名这一步,试想直接连接一个IP,在没有协议拦截的情况下,他凭什么去拦截这个IP...
这样我也就喷过360一次,白+黑远控配置静态IP必过360ND防御

不过这些只是我自己想的,具体是不是咱就不清楚了

回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-16 07:57 , Processed in 0.097193 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表