神奇的360---【问题已经解决】

显示全部楼层 · 发表于 2016-8-14 12:53:08

本帖最后由 vm001 于 2016-8-15 21:02 编辑

这里要说的是360蛋疼的主防和蛋疼的白+黑远控木马，出现的蛋疼的现象。。。。

上测试样本
（活马，谨慎下载测试）

首先来说通过下载保护下载样本，360未知，然后执行样本，全程360无反应，被远控。。（实机）

然后再开虚拟机，样本托里面执行，360无反应，

接着，重启虚拟机，在虚拟机里挂上QQ，通过QQ传输到虚拟机，执行样本，启动项和远程呗360成功拦截

然后关闭虚拟机，重启实机，开虚拟机，从虚拟机中通过QQ把样本传输给实机，执行样本，实机里360成功拦截启动项的添加和远控。。

这时候在想难道是只要通过QQ传输的就能拦截啊-----下载保护的不行？然后直接下载样本，执行，360还是成功拦截。。

（这时候我已经蒙了）然后再从虚拟机里把样本改个名字通过QQ传输到实机，360全程哑火，包括启动项的写入。。

就这样来来回回的出现拦截和不拦截。。。

现在更蛋疼的事情又来了

再次改名从实机和虚拟机相互传输，结果都能拦截了。。。

然后把这个能拦截的并且解压开的文件夹留在了桌面上。。。继续从虚拟机里通过QQ传输改名字的样本包，结果启动项都能拦截。。

然后我清理下桌面就把前面说那个文件夹删除到回收站（就是上图中这个22的）

然后继续从虚拟机传输改了名字的包到实机执行，结果360又是全程压哑火

然后无意中我把22这个文件夹恢复到桌面，然后执行其他刚才解压开的那些（就是执行那个旧图2），360又能拦截启动项了

然后再把这个22删除执行其他的文件夹那些（旧图2），360又哑火了

。。。。。

彻底蒙了。。。。。但是这种现象只限于白+黑，别的没发现。。。
是360自己注入到explorer的什么模块和自己的主防冲突了？还是就是这么“设计”的
我测试了官网的正式版和2个测试版，全部是这样的现象

虚拟机和实机都用的是win10 64位系统，10586 545

显示全部楼层 · 发表于 2016-8-14 12:57:20

发完帖子才发现执行其他文件夹的旧图2还是在拦截22里那个

显示全部楼层 · 发表于 2016-8-14 13:16:03

看的像绕口令似的！等待技术支持来咯

显示全部楼层 · 发表于 2016-8-14 13:48:59

楼主确实巨能折腾，还是等数字官方来解释吧

显示全部楼层 · 发表于 2016-8-14 14:09:20

手动艾特@360技术支持

显示全部楼层 · 发表于 2016-8-14 14:17:07

我以前试过，360在win7和以上的白加黑防御是比较简单初级的，随便过，也可能像楼主说的有BUG。

XP下是比较严格的。

显示全部楼层 · 发表于 2016-8-14 14:18:13

卡机2连

显示全部楼层 · 发表于 2016-8-14 14:22:15

本帖最后由 kfm99 于 2016-8-14 14:40 编辑

另外360的那个safehmpg干嘛的我不知道，反正拿procmon看到，加载那个后，如果lnk无效，explorer会疯狂的查找同目录下不存在的文件。。也许跟那个有关。

显示全部楼层 · 发表于 2016-8-14 14:27:11

kfm99 发表于 2016-8-14 14:22
另外360的那个safehmpg干嘛的我不知道，反正拿procmon看到，加载那个后，explorer疯狂的查找同目录下不存在 ...

其中一项任务就是找类似样本这样的lnk的，如果explorer里有相关lnk就拦截，像这样的被过了就是没找到或者说虽然拦截了还是记录的前面的（比如我二楼说那个现象）。。。以前就因为这个模块出现过类似问题。。

显示全部楼层 · 发表于 2016-8-14 14:30:54

本帖最后由 kfm99 于 2016-8-14 14:39 编辑

vm001 发表于 2016-8-14 14:27
其中一项任务就是找类似样本这样的lnk的，如果explorer里有相关lnk就拦截，像这样的被过了就是没找到或者 ...

说错了，编辑掉

[问题反馈] 神奇的360---【问题已经解决】

本帖子中包含更多资源

评分