360最终的白加黑防御是什么样

vm001

昨天反馈的问题
http://bbs.kafan.cn/thread-1808579-1-1.html

在引用一下说明

结果测试发现，虽然衍生物的dll360入库报黑，下载保护也可以杀掉，结果发现，在单蹦360卫士的环境里，执行exe，结果在dll扫描可以报黑的情况下，360卫士全程哑火

昨天的测试样本
样本地址链接: http://pan.baidu.com/s/1ntLuVNF 密码: tlmv

结果今天测试这个问题得以修复，那么我就来验证一下是不是从根本上修复白加黑的防御，接下来我们来测试，由于本人不会免杀，所以给dll修改MD5后，exe就执行不起来了，所以这个测试方式无法使用，接下来我们进行这样一个测试，修改exe的MD5，测试结果360还是可以拦截到木马，好，我们再来做第三个测试，直接把样本里的白文件（暴风游戏程序） 360aq.exe替换成另一个新版本的暴风游戏程序BFGameManager.exe



看2个文件的签名日期不一样，当然MD5也是不一样的，


当然测试时候也可以直接用BFGameManager.exe来测试，也可将BFGameManager.exe改名为360aq.exe来测试

开始执行，先看原来的，双击直接拦截下来


然后恢复干净系统，重新测试，那来双击替换了白文件BFGameManager.exe结果同样在dll文件做不任何修改的情况下，360全程哑火




启动项，计划任务，远程连接都没有拦截..

那测试完毕后总结一下，白exe加黑dll拦截，灰exe加黑dll拦截，跟着就是（换了）白exe加黑dll无拦截，这样就得出一个结论，360的白+黑防御其实还是和金山的一样，把已知的高危exe入行为库（MD5入库，当然不是报毒哈）这样在已知exe加载黑dll的时候就拦截...

看来白+黑一样还是叫个厂商头疼的东西...

沧桑浪子

为什么白文件大都是暴风影音的？求科普

vm001

沧桑浪子 发表于 2015-2-8 11:34
为什么白文件大都是暴风影音的？求科普

容易利用吧，别的深奥的就不懂了

pal家族

听说bd杀白加黑不错？卡巴反正想来不杀

zkx6762

沧桑浪子 发表于 2015-2-8 11:34
为什么白文件大都是暴风影音的？求科普

还有搜狐视频和已经死掉的456

zmyx279323199

第三张图木马名称那咋空白的？

jefffire

不依赖白名单 才有效果