收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 360 360主防该拦截的不拦,不改拦的却拦了
返回列表 发新帖
查看: 2207|回复: 4
收起左侧

[讨论] 360主防该拦截的不拦,不改拦的却拦了

[复制链接]
zay365
头像被屏蔽
发表于 2019-7-26 15:23:53 | 显示全部楼层 |阅读模式
本帖最后由 zay365 于 2019-7-26 15:25 编辑

Win7 SP1x64 360安全卫士12.1beta版
几天前,我安装智量时360弹框了,我感到很奇怪,虽然我记得之前智量1.XX时被火绒和腾讯电脑管家轮流弹框,但上次安装2.09版时火绒和360都没有任何反应啊。我一看风险程序是version.dll,知道是智量的安装程序加载了我之前下载的病毒样本。。。(所以大家要养成良好的习惯,不要把不明dll文件放在下载目录里,以免运行exe程序时被dll劫持)
  1. 时间        操作        说明        次数
  2. 2019-07-24 14:20:22        [已阻止]          修改 关键程序DLL文件        防护 1 次
  3. 详细描述:
  4. 进程:D:\360安全浏览器下载\WiseVector_Setup.exe
  5. 动作:试图修改
  6. 路径:C:\Program Files (x86)\WiseVector\dbghelp.dll
  7. 风险文件:D:\360安全浏览器下载\version.dll
复制代码
  1. 时间        操作        说明        次数
  2. 2019-07-24 14:20:47        [已阻止]          修改 系统敏感启动项        防护 1 次
  3. 详细描述:
  4. 注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELL EXTENSIONS\APPROVED\[{C49499AC-DC25-478B-B903-E005012B3DD1}]
  5. 注册表内容:WiseVector Scan extension
  6. 进程:C:\Windows\System32\regsvr32.exe
  7. 父进程:C:\Windows\SysWOW64\regsvr32.exe , (103)
  8. 风险文件:D:\360安全浏览器下载\version.dll
复制代码
不知道为什么后来就不能复现了。。。这里首先就存在一个问题,为什么报毒的dll文件在加载时不拦截
一开始试的时候dll在重命名和右键查看属性时会弹框,之后就再也没有复现过。。。
火绒在入库后是会拦截的http://bbs.huorong.cn/thread-60603-1-1.html
现在步入正题,我本以为360主防有白名单机制,对一些信任程序的行为会自动允许,但在白名单中的程序如果加载了未知的dll文件,原本被自动允许的行为就会弹框,这是用来防护白加黑病毒攻击的方式,但我在测试中发现这个机制很不完善。
在加白的程序的目录下面放一个ws2_32.dll,打开时360就会弹框。但问题是ws2_32.dll在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs下,程序是不会加载的,用ARK工具看了下程序也没有加载目录下的ws2_32.dll。

然后我又试了dwmapi.dll,msimg32.dll劫持,dll成功加载了,360没有任何反应。(在这里说一下PC Hunter的安全性是真的高,加载dll时好像都是加了完整路径从系统目录中读取的)试了lpk.dll和usp10.dll没加载也无反应
难道360是按照文件名来进行拦截的,有个黑名单,在里面的dll文件就会拦截。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

kfne12
头像被屏蔽
发表于 2019-7-26 15:34:15 来自手机 | 显示全部楼层
楼主你吊我胃口。等了一天你就给我看这个。。。。测试白加黑,楼主还需要跟vm001多多请教。。。。
回复

举报

360主动防御
发表于 2019-7-26 16:17:40 | 显示全部楼层
你好,感谢细致的发现,是否方便提供下相关的风险程序version.dll
回复

举报

zay365
头像被屏蔽
 楼主| 发表于 2019-7-26 23:16:25 | 显示全部楼层
360主动防御 发表于 2019-7-26 16:17
你好,感谢细致的发现,是否方便提供下相关的风险程序version.dll

https://bbs.kafan.cn/thread-2155248-1-1.html在这个帖子里version.dll劫持和其他dll不同,直接把其他dll改名成version.dll程序运行时会出错。而且这个version.dll有奇怪之处,我试的几个除智量安装包之外的其他程序运行时都会报错。
不对,是否拦截和程序是否成功运行没有关系,只要是试图加载dll文件都应该被监控到。
回复

举报

kfne12
头像被屏蔽
发表于 2019-7-27 00:05:27 | 显示全部楼层
zay365 发表于 2019-7-26 23:16
https://bbs.kafan.cn/thread-2155248-1-1.html在这个帖子里version.dll劫持和其他dll不同,直接把其他dl ...

直接把其他dll改名是不是函数没对上啊。。。。

据说,导出函数要对上的(是叫导出函数吧,我忘了叫导入还是导出了)
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:37 , Processed in 0.146182 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表