重大发现：金山更新驱动，拦截所有360字样进程！（附样本）

尘梦幽然

jpzy 发表于 2014-2-13 11:13
真用第三方做，那就真是病毒了。很快就会入库咔嚓……

按我说的做的话，那由第三方进程（或系统进程）释放的驱动文件既有合法数字签名（虽然不是金山的），刚开始的一段时间又没有动作，在没有反编译的情况下，360很难认定它是病毒。
只有后面行为出来了，云主防才比较好对付吧。

ALEXBLAIR

很符合某公司的传统~

jpzy

尘梦幽然 发表于 2014-2-13 11:17
按我说的做的话，那由第三方进程（或系统进程）释放的驱动文件既有合法数字签名（虽然不是金山的 ...

打不开360系所有的软件，你觉得入库能慢？

ALEXBLAIR

其实吧，作为金山而言 不管出于什么目的，这种简单粗暴的方式的确也不失为一种好方法。
在说金山的时候，其实不该说技术 而是该去问问下这个需求的高层，他们脑子有病么？

别的不说，作为一个项目需求比饭米粒多的互联网企业里，很少会给开发太多的时间去处理一些简单的需求。
这件事情而言，我个人觉得应该是这样的场景。
某天，某XXPM 下了个奇葩需求，要求禁止360的进程（原因可以很多，为了升级，为了避免RING0冲突，为了防蓝屏，为了抢HOOK 等等。。。。）
这事情到了开发，开发一看，尼玛之后还有100+个需求，开始想怎么弄。
1、360一样是驱动级的，ring0内大战弄不好就蓝屏。
2、提取程序特征库？版本那么多鬼知道用户是哪个版本，而且360升级比吃饭都勤快，显然要累死。
3、万一自己的进程没成功插♂入♂~那么在ring3上面围观ring0也是悲剧。

最后想了想 ，算了枚举进程把 反正这货都是叫360的。

===================
插一句：360这点也做的不好，不过红衣的过人之处在于 心理学用的好。
记得早些年 360安装的时候，如果INSTALL检测到同行软件，会提示XX软件会对360引起冲突 损坏系统。建议用户删除。
这个吓人的提示，马上让大批小白连滚带爬的去删软件了，再牛的软件，也吃不消用户主动删除。

这点金山值得学习一下。

有时候不是所有问题的 都可以用技术解决的。

尘梦幽然

jpzy 发表于 2014-2-13 11:23
打不开360系所有的软件，你觉得入库能慢？

该驱动带有数字签名的话，内容只有检测带360字符的进程就直接关闭的话，那么这么单纯的行为，云主防最好拦截了。其次是QVM，不过要看QVM检测规则了。
不过作为同是专业厂商的工作人员，过掉360的QVM也不是非常难的事情。关于这点，梅银明有段论述很有意思：

其实我不喜欢说杀毒软件，我觉得这行当很窝囊、尴尬。打个比方吧，防盗门能防几个小毛贼，专业的开锁匠开它是秒级的，好的防盗门那也是分分钟的事。

我觉得这次金山做得太没有水平。

彷`徨DE鑀♂

wakezhou 发表于 2014-2-12 11:29
山山就不能专心搞搞技术吗 非要玩这些小手段，，，，

想想看当年的金山网盾。。。。我觉得山山这样没啥。。。。

紫夜M冰凝

jpzy 发表于 2014-2-13 09:42
我擦，搬凳子看热闹！

我的爆米花哪去了？！

卖爆米花的坐在你旁边看热闹

Lintel-TR

人类已经阻止不了某人脑洞大开了

weiyishiwo01

又有热闹看了哦.

22667999

尘梦幽然 发表于 2014-2-13 10:30
大神出现了。。
话说回来，，金山干嘛这么无聊，干这种事情还要用自己的签名。。反正现在数字签 ...

以360的技术实力  完全可以查出来是那个源程序释放的恶意驱动  就算有数字签名 也能知道源头文件是哪个


到时候查出来之后 发现金山冒用其他公司签名 岂不是更严重？