测试求助

vm001

rsin 发表于 2013-7-11 22:07
这个真没办法，不属于4d范围，

重现了一次，本地测试如果写服务，360一样拦截不了，染毒后全模式下执行360扫描，查杀不干净，处理后重启还是锁屏，没查出这个启动服务项，这里金山可以修复..

kfx13

vm001 发表于 2013-7-11 23:33
重现了一次，本地测试如果写服务，360一样拦截不了，染毒后全模式下执行360扫描，查杀不干净，处理后重启 ...

File identification
MD5 54bb9f364f74ddd8a4df84b38fcc6b28
SHA1 76c752d11634b618fe98bc8acc31b019a7048e87
SHA256 1870709c030c3f29d9baa1e0f15a7440e7cc2704b31c778bd08c9b68ccf9d6a7
ssdeep3072:ylWNHhDplL4R5AwGpRJ5bI0aynqDqf8hx3v:FHL4R5ARXIpny8hFv
File size 160.0 KB ( 163840 bytes )
File type Win32 DLL

那是你再一次测错了。
偶下不了附件，不过从virustotal看这是个dll，楼主手动拿rundll32,regsvr32来运行dll说明不了问题，这不是测试主防的正确方法。。

发现一开始果然被楼主带坑里了，这个和锁屏还没关系，不锁屏也不会拦。

、

vm001

kfx13 发表于 2013-7-12 00:16
File identification
MD5 54bb9f364f74ddd8a4df84b38fcc6b28
SHA1 76c752d11634b618fe98bc8acc31b019a7 ...

我是用批处理启动的，不过只能侥幸一次，然后就被qvm干死了....
这点测试我早就想过...更何况对于这个拦截，就算是直接regsvr32启动，360也会拦截启动项，和你想的这个没关系哈...
现在的问题是锁屏后写服务，我不知道是我这里环境问题还是确实也拦截不了..因为在360的系统上不好重现，所以我不敢下这个结论...
另外，就算是直接启动也不能说测试有误，想一下
HashTab32.dll

moonsilver

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\PROGRA~3\\ialz6.bat"

START "ok" rundll32.exe C:\PROGRA~3\6zlai.dat,XFG00 /B

moonsilver

那个篡改有，服务么，等我再找找

---

实机测试，锁屏了，然后强制重启，360先启动了，但是还是锁屏了

---

话说“随机文件名.pad”是个啥玩意……

kfx13

moonsilver 发表于 2013-7-12 02:03
那个篡改有，服务么，等我再找找

---

实机测试，锁屏了，然后强制重启，360先启动了，但是还是锁屏了

可以共享下样本。或者说下你是怎么运行dll的吗？

vm001

moonsilver 发表于 2013-7-12 01:33
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\PROGRA~3\\i ...

还会改这里？看来动作不固定还有点多

kfx13

楼主和版主pm都不给样本.那我只好自己翻md5找到相同样本.

测试结果如下:

1.以前360不管rundll32,现在发现直接rundll32,360也拦截,看来和以前不一样了.
2.没发现样本有什么特殊的方法写Winmgmt下面的servicedll.
3.运行了将近10次左右样本.有一次意外的没有拦截启动项.无法重现.不确定什么原因,也许是网络抽了或者刚开机的原因或者360本身的奇怪bug..(是指360可能确实有部分规则间歇性失效,重启恢复的现象)

所以个人看法:没发现360有什么防御缺陷.

vm001

kfx13 发表于 2013-7-12 23:04
楼主和版主pm都不给样本.那我只好自己翻md5找到相同样本.

测试结果如下:

已经把样本发你邮箱了啊

kfx13

vm001 发表于 2013-7-12 23:07
已经把样本发你邮箱了啊

额,谢谢你了.