【官方软件同样报行为】论坛下的CClear，看完行为分析犹豫了

尘梦幽然

longkidd 发表于 2016-3-20 17:30
你指的有效数字签名是你提供的这个网址吗？
我这个文件是论坛某大大的单文件作品，官方下的（如你提供的 ...

但是官方版并没有被杀毒软件检测为病毒，你从第三方下载的已经没有数签，会被检测为病毒。

windows7爱好者

pal家族 发表于 2016-3-20 17:40
欸欸，楼主你怎么就想不明白呢？
你仔细看看火焰上那些红色字，那叫“危险行为监控”，不是“恶意行为监 ...

说得好，再说了，楼主你又不玩那个游戏

pal家族

最后补充一下：
ccleaner是全球知名的垃圾清理软件，使用人数，是按亿算的。若是病毒，杀软不不管吗？
火眼是什么东西，我不觉得火眼有能力质疑ccleaner的安全性。
何况我已经说了，你上传的火眼对原本cc的鉴定，火眼已经明确告诉你这是一个安全的软件了！只是因为修改版没有数字签名，所以火眼并不认识他。
疑人不用用人不疑。
That is all！

longkidd

pal家族 发表于 2016-3-20 18:03
最后补充一下：
ccleaner是全球知名的垃圾清理软件，使用人数，是按亿算的。若是病毒，杀软不不管吗？
火 ...

额。。大牛你好！
我开始时确实是有些怀疑是不是单文件被修改了什么
但随着官方下载的版本也被火眼分析出有若干行为，我就好奇了
这个好奇不是针对cclear本身，反倒是火眼，因为从楼上几位的分析和解答都能看出火眼似乎是对所有版本（官方or民间净化）除了MD5值翻新，直接就贴一份应该是“误报”的报告给用户
之所以说是“误报”，因为那个游戏应该算是国内的小众游戏，cclear确实没道理专门为了它而动手脚，加之楼上几位实体机或虚拟机运行实测都没发现问题。但火眼似乎不管三七二十一，并没有实际分析就贴同样的报告给用户，这似乎有些不负责任，是不是可以认为，我上传个干净的“A文件”给火眼，火眼分析后，提示无风险，然后我再上传个动了手脚的“A文件"，火眼基于之前检测过的“A文件”这个名字就直接贴无风险的提示给用户呢？
（当然，仅仅是小小的想法，无任何实质证据，只是想不懂为何不同渠道不同版本的cclear都会得出同样的报告）

当然，我虽然在卡饭待了些时间，但本质上还是小白一枚，有些安全意识，但缺乏专业积累，所以遇到这种类似行为分析官方软件却还是出现可疑行为的问题，确实没法判断，只好求助论坛里的各位饭友。
可能是之前表述不清，言语之间冒犯到努力分享自己绿化过的软件却还被误解的各位大牛，在此我表示抱歉，也希望各位大牛在遇到我等小白的提问时仍能保持“大气谦和”的卡饭精神，能够讲解科普，谢谢！

pal家族

longkidd 发表于 2016-3-20 22:05
额。。大牛你好！
我开始时确实是有些怀疑是不是单文件被修改了什么
但随着官方下载的版本也被 ...

不会，火眼基于行为，他本身没有偏见，只是用户理解会不同。
另外，我在表达我的观点时，可能有些冲，很抱歉，有时候有些不由自主。。。。
不过你应该可以看出，我说的话都是很真诚的，绝对没有任何讽刺。

峪飞鹰

3801187 发表于 2016-3-20 12:07
沙盘运行过BD主防，感觉问题不大

我这儿卡巴显示的是信任。奇怪，为啥你图里的CCleaner装在AppData目录下？而且文件名还有个32的数字？我装的只有CCleaner.exe和CCleaner64.exe，两个都在卡巴的信誉里是受信任的。

峪飞鹰

尘梦幽然 发表于 2016-3-20 17:47
但是官方版并没有被杀毒软件检测为病毒，你从第三方下载的已经没有数签，会被检测为病毒。

刚刚我也把原版的CCleaner上传到火眼检测了。火眼的详细报告如下：
http://fireeye.ijinshan.com/anal ... c9b&type=1#full

火眼给出的评价如图：


火眼给出的行为里面看，除了那个Dragon.exe之外，其他的查找都是CCleaner在找是否存在清理规则里列出的软件，然后将其显示在列表里的功能造成的。比如火眼报告里提到了CCleaner会扫描注册表，仔细看，都是对应每个不同的软件，CCleaner这个行为就是我说的，应该是找是否存在这些软件，如果有则在清理规则里显示对应软件的条目，以供用户勾选，不存在的则隐藏，避免干扰用户视线。

当然，那个很明显的Dragon.exe的提示会让用户觉得奇怪，因为没有必要查找这个游戏进程啊？不过经过Google搜索后，估计CCleaner查找的并非是“龙腾世纪”这个游戏，而是Comodo Dragon浏览器。网址可参考这里：https://www.comodo.com/news/pres ... rowser-Release.html

如果属实的话，那Dragon.exe并没什么不妥。接下来就是几个inline的钩子了。

1. 
   
2. 行为描述：inline hook 自身进程
   
3. 附加信息：CCleaner.exe
   
4. USER32.dll!EnableScrollBar Ordinal: 196 HookType: InlineHook
   
5. USER32.dll!GetScrollInfo Ordinal: 342 HookType: InlineHook
   
6. USER32.dll!GetScrollPos Ordinal: 343 HookType: InlineHook
   
7. USER32.dll!GetScrollRange Ordinal: 344 HookType: InlineHook
   
8. USER32.dll!SetScrollInfo Ordinal: 623 HookType: InlineHook
   
9. USER32.dll!SetScrollPos Ordinal: 624 HookType: InlineHook
   
10. USER32.dll!SetScrollRange Ordinal: 625 HookType: InlineHook
    
11. USER32.dll!ShowScrollBar Ordinal: 657 HookType: InlineHook
    

复制代码

火眼里描述的这个inline钩子，似乎只是钩了CCleaner自身，并不是全局的，并且从钩的文件名和函数名来看，这些函数是和滚动条有关的，很有可能是CCleaner要改变滚动条的外观，所以才钩了这几个函数。楼主你打开CCleaner看，它的滚动条是扁平的，如果不钩这几个函数的话，在Win7、XP下，滚动条就是立体的。所以目测这几个钩子也只是为了实现外观一致性而做的，并不是木马行为。

另外，火眼明显对 64 位程序不能识别，我上传的 64 位 CCleaner 直接被火眼识别成 Not a valid PE 了。报告如下：
http://fireeye.ijinshan.com/anal ... c2502228&type=1

峪飞鹰

尘梦幽然 发表于 2016-3-20 17:47
但是官方版并没有被杀毒软件检测为病毒，你从第三方下载的已经没有数签，会被检测为病毒。

抱歉，回错对象了。我把你看成楼主了。Sorry.

峪飞鹰

抱歉，刚刚回错对象了，楼主请看我发布在26楼的留言。

gold2007

我两台机器都是先安装F-Prot，再安装Ccleaner，用了几年好好的。