重大发现：金山更新驱动，拦截所有360字样进程！（附样本）

显示全部楼层 · 发表于 2014-2-13 14:07:49

恋爱的夏娜发表于 2014-2-13 14:05
嗯？不是去过了么？

真的没去过啊

显示全部楼层 · 发表于 2014-2-13 14:09:16

footman 发表于 2014-2-13 14:07
真的没去过啊

哦，原来我记错了啊……

显示全部楼层 · 发表于 2014-2-13 14:11:16

彷`徨DE鑀♂ 发表于 2014-2-13 13:21
360起的头

这个。。。。可以这么说吗。。。

显示全部楼层 · 发表于 2014-2-13 14:12:05

恋爱的夏娜发表于 2014-2-13 14:09
哦，原来我记错了啊……

呵呵呵呵

显示全部楼层 · 发表于 2014-2-13 14:19:52

footman 发表于 2014-2-13 14:12
呵呵呵呵

呵呵呵呵~~~

显示全部楼层 · 发表于 2014-2-13 14:22:12

这么做太过火了。

显示全部楼层 · 发表于 2014-2-13 14:52:58

a280530870 发表于 2014-2-13 09:39
楼主不是我不相信你但是你06年注册的id 到现在就2小时在线有点说不过去

驱动内核逆成这样是否值得 ...

Windows的驱动签名机制，没签名驱动都装不上，签名又严格控制，不用自己签名用谁的

显示全部楼层 · 发表于 2014-2-13 16:18:19

ZJUER 发表于 2014-2-13 14:52
Windows的驱动签名机制，没签名驱动都装不上，签名又严格控制，不用自己签名用谁的

签名可以买的、、、不贵。。买过360的签名

显示全部楼层 · 发表于 2014-2-13 17:15:08

本帖最后由尘梦幽然于 2014-2-13 17:19 编辑

22667999 发表于 2014-2-13 12:24
以360的技术实力完全可以查出来是那个源程序释放的恶意驱动就算有数字签名也能知道源头文件是哪个
...

个人认为，金山作为专业厂商，对360的监控应该也是比较了解的。他们可能有别的办法可以绕过。
不过我想360应该是有能力的侦测整个过程的，不过如果把发作周期延长，生成、运作过程加一些伪装的话，等到爆发的时候就不容易再复现出来（因为是至少一周以前就开始干这事，到爆发之前关闭后台下放程序，等到行为爆发，众人关注，已经不能再复现完整过程了。而在爆发之前适当采取免杀措施隐蔽，我觉得作为一个专业厂商，还是有这个能力的。），给取证造成难度。

显示全部楼层 · 发表于 2014-2-13 17:17:02

a280530870 发表于 2014-2-13 16:18
签名可以买的、、、不贵。。买过360的签名

呵呵，那种可以买到的签名微软会每月注销一批的，而且你买到的360的签名在Windows系统里是对不上号的。签名可不是有个戳说是谁就是谁的。

[其他] 重大发现：金山更新驱动，拦截所有360字样进程！（附样本）