重大发现：金山更新驱动，拦截所有360字样进程！（附样本）

至尊潮流

彷`徨DE鑀♂ 发表于 2014-2-13 11:52
想想看当年的金山网盾。。。。我觉得山山这样没啥。。。。

你真觉得那网盾是360搞死的？然后金山为了防止用户电脑大战自杀？明显是傅盛抛弃了

尘梦幽然

至尊潮流 发表于 2014-2-14 00:04
还有个常驻进程“zhudongfangyu”虽然我不知道它的具体用途

由第三方进程（或系统进程）释放的驱动文件既有合法数字签名（虽然不是金山的），刚开始的一段时间又没有动作，在没有反编译的情况下，360很难认定它是病毒。
只有后面行为出来了，云主防才比较好对付吧。

说得很清楚了。云主防一直在，但是拦截的前提是至少加载了，带着可信数字签名的话，那还要有动作云主防才会拦截。
之前没动作只是为了掩人耳目而潜伏着罢了，这段时间毫无威胁，常驻进程“zhudongfangyu”不会那么急于出手吧？
所以，你说的话是想表达什么？

至尊潮流

尘梦幽然 发表于 2014-2-14 00:21
说得很清楚了。云主防一直在，但是拦截的前提是至少加载了，带着可信数字签名的话，那还要有动作才会 ...

我不是说拦截，我是说干掉，这个是不带360字样的

尘梦幽然

至尊潮流 发表于 2014-2-14 00:28
我不是说拦截，我是说干掉，这个是不带360字样的

原来是这个意思。
不过我看它好像主要就是破坏360功能，让用户不能正常使用。其他进程都被干得差不多了，那只留一个进程，360软件的功能也不能完全恢复，它的目的大概已经达到了吧。

血色

footman 发表于 2014-2-13 09:58
逆驱动、分析代码、写测试程序、发帖，总共6、7小时，大神啊。

看3q大战那区区几天时间，隐私 隐私保护器 扣扣保镖 也就几天时间，人家公关力量国内无敌

daojianwuhen

footman 发表于 2014-2-13 14:12
呵呵呵呵

纯表情回复作为一个斑竹对版规明知故犯很好玩吗

彷`徨DE鑀♂

至尊潮流 发表于 2014-2-13 11:19
你真觉得那网盾是360搞死的？然后金山为了防止用户电脑大战自杀？明显是傅盛抛弃了

我记得网盾好像有个漏洞一直修复不了还是怎么着

不论怎样，360当年那一招让金山损失了不少用户，缓不过来了只好放弃。当时好像还不是傅盛当CEO呢吧。。。傅盛是可牛和金山合并了以后才来的

jefffire

这么牛了现在？

大金鱼先生

尘梦幽然 发表于 2014-2-14 00:31
原来是这个意思。
不过我看它好像主要就是破坏360功能，让用户不能正常使用。其他进程都被干得差 ...

我想的是，既然zhudongfangyu.exe没有被干掉，是不是应该检测到360被破坏而下载急救箱尝试修复？

尘梦幽然

大金鱼先生 发表于 2014-2-14 11:01
我想的是，既然zhudongfangyu.exe没有被干掉，是不是应该检测到360被破坏而下载急救箱尝试修复？

我不知道这个进程有没有自动下载的功能……所以无法估计。
总之是给用户造成了麻烦，降低了用户体验。