今天现出锅放入白+黑，不要实机运行啊

m220011

a256886572008 发表于 2013-3-17 15:32
360 是靠路徑來判斷黑DLL，不是依靠 HASH 判斷?

综合的多步判断
hash仅仅只是一方面 只能针对已经入库的
未知dll 可以参考下面
http://weibo.com/2656220757/zm4JgnMmi

vm001

m220011 发表于 2013-3-17 15:21
从4L发的来看  二次加载啊
通过构造合法路径来绕过数字的dll监控啊

并不是合法路径就可以绕过数字主防，样本的运行步骤和目的是----

母体的stormplayer.exe加载同目录下这个dll(其实这个不具备病毒特征）然后去释放Program Files\BaoFeng\StormPlayer.dll并加载执行远控，释放Program Files\BaoFeng\StormPlayer.exe加载开机启动并运行，以达到计算机启动后Program Files\BaoFeng\StormPlayer.exe加载Program Files\BaoFeng\StormPlayer.dll执行，而Program Files\BaoFeng\StormPlayer.dll是随机膨胀来躲避360和金山的云查杀（这样在执行的时候由于文件过大，360和金山的扫描会超时造成不拦截）

这样和目录无关，如果没规则的情况下，杀软不可能去同步验证自身加载的dll，这样就完全过掉了数字主防..
而之前360有个ND拦截，但是360的ND拦截是建立在程序是否访问了动态域名的基础上，所以这几次样本使用了静态IP来过掉360的ND（之前我说过静态IP必过360ND---测试发现）

m220011

vm001 发表于 2013-3-17 15:38
并不是合法路径就可以绕过数字主防，样本的运行步骤和目的是----

母体的stormplayer.exe加载同目录下这 ...

感谢解答  没人妻了  以后补上

这样本我没上手  

而Program Files\BaoFeng\StormPlayer.dll是随机膨胀来躲避360和金山的云查杀（这样在执行的时候由于文件过大，360和金山的扫描会超时造成不拦截）

光看4L hips日志果然是不全面的

话说 现在暴风都被黑出翔了  360应该对暴风的签名严格监控了才对  dll只要非白即判黑【然后大家都转身去黑chrome 哈哈哈】

现在写个过数字的真是太费脑子了

vm001

m220011 发表于 2013-3-17 15:45
感谢解答  没人妻了  以后补上

这样本我没上手  

4楼检测到的112.91.29.147 : 80 (http)并不是远控连接，这个应该是样本在探测网络是否可以连出去，如果可以继续运行执行连接14.119.171.230远控主机，如果没有连接网络则退出程序运行..

m220011

1. 112.91.29.147

复制代码

同意楼上
是51cdn的服务器啊

√×√×√√×

vm001 发表于 2013-3-16 23:03
云端规则已经更新

母体

囧，我这测试并没有上图两个拦截，只有母体DLL和Program Files DLL MD5拉黑那个拦截，改个MD5就被过了，然后K+开始不停的拦截远程关机操作 囧囧囧
只有这个MD5的拉黑拦截。点阻止后远控照常运行并不影响。还被强行注销了一次

vm001

√×√×√√× 发表于 2013-3-17 18:17
囧，我这测试并没有上图两个拦截，只有母体DLL和Program Files DLL MD5拉黑那个拦截，改个MD5就被 ...

就是我上面说的96.1M造成云超时

√×√×√√×

vm001 发表于 2013-3-17 18:21
就是我上面说的96.1M造成云超时

囧，测试之前挂迅雷的时候发现山山那边费了好半天的时间才连上云 囧囧

vm001

√×√×√√× 发表于 2013-3-17 18:23
囧，测试之前挂迅雷的时候发现山山那边费了好半天的时间才连上云 囧囧

另外衍生物的dll可不是MD5拉黑,你扫描下就知道了

√×√×√√×

vm001 发表于 2013-3-17 18:25
另外衍生物的dll可不是MD5拉黑,你扫描下就知道了

囧，衍生物没扫，只扫了本体的MD5拉黑无误 囧囧