查看: 3960|回复: 19
收起左侧

[讨论] 关于speedmem2.hg和双引号的诡异故事

[复制链接]
kfne12
头像被屏蔽
发表于 2018-4-14 20:17:42 | 显示全部楼层 |阅读模式
本帖最后由 kfne12 于 2018-4-15 09:58 编辑

事情的经过是这样的。

我的机子上收藏了一个利用regsvr32来干坏事的lnk快捷方式regsvr32.lnk,这个regsvr32.lnk运行时会被360主防拦截,报regsvr32攻击。
我又把这个regsvr32.lnk修改了一下,弄了个regsvr32-new.lnk,这个360主防不会拦截。

我现在不想讨论绕过不绕过这个话题,而是想说一下关于这两个快捷方式发生了一个很诡异的情况,疑似是某种BUG。

什么情况呢:
先运行regsvr32.lnk,360是正常拦截的。然后运行regsvr32-new.lnk,360不拦截,这也是意料之中的。奇怪的是接下来的情况:运行完regsvr32-new.lnk后,再运行这个regsvr32.lnk就再也不会拦截了。不管怎么弄,甚至修改regsvr32.lnk的文件名和md5,都再不会拦截了。
实机64位win7和虚拟机32位win7都是这样,虚拟机XP没有这个情况。

我试了:只有一种情况还会拦截这个regsvr32.lnk,就是把这个regsvr32.lnk经浏览器传输一下,再用winrar解压。

但是把这个传输过解压后的regsvr32.lnk 复制一下命名为regsvr32a.lnk,再运行regsvr32-new.lnk,再运行这个复制过的regsvr32a.lnk就又不拦截了。

我昨天研究了半天,最后发现,只要删除360目录下的speedmem2.hg这个文件,就会恢复对regsvr32.lnk的正常拦截了。
我的猜测是,这个speedmem2.hg应该是为了提升性能,建立了一些缓存或者白名单。这个可能跟这个诡异的情况有关。

可是,一个月前是没有这个情况的,难道还跟最新的微软补丁有关?
----------------------------------
附件压缩包是我提到的几个lnk。
测试方法如下:
下载下来后,解压出来,不要直接运行regsvr32这个文件夹里的lnk,因为有下载解压缩保护的缓存,所以触发不了这个诡异情况.
解压出来后,要把regsvr32这个文件夹复制一下,复制成别的文件夹,再在那个复制出来的文件夹里面先后运行那几个lnk,就会出现我说的情况了。


压缩包设了个密码,密码是我的qq号码,想知道密码的可以pm我。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-14 20:29:48 | 显示全部楼层
本帖最后由 kfne12 于 2018-4-14 20:35 编辑

另外捣鼓那个speedmem2.hg时还搞笑了。
删除speedmem2.hg后为了阻止speedmem2.hg再次生成,我分别使出了建立同名文件夹大法,360文件粉碎机和pchunter的阻止再生大法,都不能阻止360启动时再次生成speedmem2.hg,重启了一次后,我祭出了reg load大法,结果启动360后,speedmem2.hg被system占坑,360终于生成不了speedmem2.hg了,系统也彻底卡死了,只好强制重启。。。
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-14 22:05:45 | 显示全部楼层
另外,利用regsvr32的特殊功能干坏事,已经有木马这么做了。
360论坛就有一个。。
http://bbs.360.cn/thread-15270541-1-1.html
vm001
发表于 2018-4-14 22:52:04 | 显示全部楼层
360主防好像是就和传输或者说文件来源有关联的。。
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-15 09:26:47 | 显示全部楼层
本帖最后由 kfne12 于 2018-4-15 09:27 编辑
vm001 发表于 2018-4-14 22:52
360主防好像是就和传输或者说文件来源有关联的。。

这我知道,所以我说明了,先不考虑这个条件。

运行1拦截,运行2后再运行1就不拦截了,这肯定不太正常了。
360客服
发表于 2018-4-15 09:52:06 | 显示全部楼层
您好,

感谢反馈。针对您所描述的这个情况,我们需要进一步核实,已经私信联系您获取压缩包密码
360主动防御
发表于 2018-4-16 19:43:30 | 显示全部楼层
这个问题和speedmem2.hg没关系,是云规则上对regsvr32执行命令行使用双引号进行混淆的情况拦截逻辑有问题

我们已经调整规则现在已经对这种混淆的情况进行拦截,感谢您的分享和反馈
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-16 19:52:18 | 显示全部楼层
本帖最后由 kfne12 于 2018-4-16 20:15 编辑
360主动防御 发表于 2018-4-16 19:43
这个问题和speedmem2.hg没关系,是云规则上对regsvr32执行命令行使用双引号进行混淆的情况拦截逻辑有问题
...

好吧,但是我那天测试了2个小时,我对灯发誓,应该不会测错啊。。。

本来不拦,删掉speedmem2.hg后确实可以正常拦截了。。。
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-16 22:20:27 | 显示全部楼层
本帖最后由 kfne12 于 2018-4-17 20:28 编辑
360主动防御 发表于 2018-4-16 19:43
这个问题和speedmem2.hg没关系,是云规则上对regsvr32执行命令行使用双引号进行混淆的情况拦截逻辑有问题
...

我刚才花了两分钟重新测试了下。。

如你所说,云端确实调整了下规则,原来那4个都拦截了。于是我刚才把原来的lnk又重新改了下。这次,这个lnk被改废了。虽然360不拦截了,但是lnk自己也运行不了了,没有任何威胁了(360这次总不会说把这个改废了的lnk也添加规则吧?)

但是运行过这个改废了的lnk后,再运行那四个已经被360拦截的lnk,又都不拦截了。

如果说确实是拦截规则有问题,怎么再次出现这个情况?

而且删除speedmem2.hg后,又能正常拦截了。。。

---------------------------------------

重新传了个压缩包,解压密码295126748。测试方法同一楼:解压出来后不要直接运行,把文件夹复制一下,再运行复制出来的文件夹里的lnk。先运行旧的那四个,再运行"regsvr32改废了的.lnk"。再重新运行那4个,就会发现这4个也不拦截了。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ozc
发表于 2018-4-17 14:53:19 | 显示全部楼层
kfne12 发表于 2018-4-16 22:20
我刚才花了两分钟重新测试了下。。

如你所说,云端确实调整了下规则,原来那4个都拦截了。于是我刚才 ...

你QQ是多少,需要解压密码
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 00:00 , Processed in 0.161629 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表