实测360和毒霸对chm恶意命令的拦截

kfne12

更新本帖：之前测试有不准确，因为没考虑到speedmem2.hg的因素。见5楼。
正常情况，不受speedmem2.hg干扰，360是可以拦截的，而且因为是直接拦截系统进程启动，所以比毒霸的更难绕过。
-------------------------------------------------------


前言1：对一些经常被用来干坏事的命令行进行拦截是360和毒霸还有火绒的主防都有的功能，通常这种命令行拦截既不会太影响性能，又能对常见的入侵行为起到比较好的效果。当然，因为拦截的是命令行，所以也可以轻易绕过。

前言2：用chm启动一个calc是14年的时候powertool作者发布的一个干坏事的方法。过了这么久了，各家应该都有所防护了。

前言3：今天比较闲，又看到了这篇文章：http://www.cnblogs.com/ssooking/articles/6171247.html于是，我就先测试360和毒霸下，火绒有机会了再测试。

----------------------------------------
下面测试正式开始：
1.
先测试用chm执行任意程序，比如执行cmd /c。
结果很遗憾，两家都没有拦截，看来通过chm启动一个子进程这点两家都不拦截。本项测试：360零分，毒霸零分。
2.
既然从本质上都没有拦截，那就试试常见的危险命令有没有拦截。
先测测用chm执行网上流行的regsvr32远程利用。
结果360没反应，命令成功执行。
毒霸提示这是高危命令入侵行为，成功拦截。当然修改下命令就绕过毒霸了，这个我们就不讨论了，起码人家拦截了一下。再说一般的木马也就是把网上的代码拿来照搬，不会去针对谁绕过谁，所以这个拦截还是有意义的。。。

本项测试：360零分，毒霸60分

3.
再测测用chm执行传说中的rundll32特殊命令行。
运行chm后，360直接阻止rundll32启动，成功拦截。危险rundll32命令没有执行出来。
毒霸还是弹出之前的窗口，这是高危命令入侵行为，同样拦截成功。


本项测试
两家各60分。

--------------------------------------

总结:
对于恶意chm，两家都有一些命令行拦截。相比较而言，可能毒霸的规则配置的更合理一些，它的拦截危险命令的规则像是对很多程序通用的，其中就包括hh.exe，可以说一项规则涵盖了很多可能有风险的程序。而360像是对hh.exe单独配置了一个规则，还拦的不全。

ldzvip

这个可以去软件中心看看

kfne12

又试了下bitsadmin命令。
两家都不拦。其中360运行了N次不拦后突然拦了一次又再不拦了，毒霸一次都不拦。。
此轮毒霸0分，360 30分。。

360主动防御

叔好，我们本地核实了一下您说的几个问题，都是可以实现拦截的；麻烦您提供一下您的测试用例，我们再进一步核实一下
另外：1，单纯启动cmd的话不会拦截，通过启动cmd再去启动一个可以从远程服务器下载攻击载荷的程序（例如powershell和regsvr32）才会进行拦截

2，关于bitsadmin的问题，bitsadmin的攻击卫士是有做特殊处理的，还要麻烦您帮忙核实一下最后有没有成功往启动项写文件还是说只是单纯的没弹窗

kfne12

360主动防御 发表于 2018-4-26 10:39
叔好，我们本地核实了一下您说的几个问题，都是可以实现拦截的；麻烦您提供一下您的测试用例，我们再进一 ...

我现在知道怎么回事了。

还是上次那个情况，speedmem2.hg捣鬼。regsvr32 bitsadmin不拦截都是因为它。
删了speedmem2.hg再测试就拦截了。

谢谢你回复了这么多

360主动防御

kfne12 发表于 2018-4-26 13:22
我现在知道怎么回事了。

还是上次那个情况，speedmem2.hg捣鬼。regsvr32 bitsadmin不拦截都是因为它。 ...

谢谢叔反馈

2605276004x

几次看见撸主speedmem2.hg的问题，可能撸主的360有问题

金山毒霸V11

楼主，谢谢您的反馈，我们会跟进的，加强这块

kfne12

金山毒霸V11 发表于 2018-4-26 14:14
楼主，谢谢您的反馈，我们会跟进的，加强这块

恩，看起来国内老牌的毒霸哥还是蛮靠谱的。