叔来分析下如何绕过360的下载保镖

kfne12

首先声明一点：
绕过360的下载保镖，对于木马作者，是一丁点用都没有的。因为360是立体防护，下载保镖本来就无足轻重，解压出来的该杀的还是要杀的。

所以此帖的意思不是想说360有什么缺陷，
而只是分享一下我玩这个游戏的思路罢了。

----------------------------------

话说，上次找茬系列4，我发现360下载保镖碰到头部不正常的带木马的rar,就不扫描了。后来捣鼓了，明白了，原来360的下载保镖是用7z开源代码解包的。

碰到头部不正常的rar压缩包,7z是拒绝解压的，而winrar是不管的。所以就出现了上次的情况。。


知道了这点后，自然就会产生一个想法：那我利用7z和winrar解包的差异性，构造一个winrar能打开，但是7z打不开（或者打开后是其他文件）的rar压缩包，是不是就可以pass掉360的下载保镖呢？

乍一想，这个想法应该是没问题的。所以就行动呗：

1.首先打开winrar,关联上所有格式。

2.再打开7z界面，查看可以关联的格式，看到有很多格式（大概20种格式）winrar是没有关联的，这意味着winrar不支持解压这些格式，而7z是支持解压的。

我们随便挑一种格式：.wim。就它吧。

3.用360桌面助手搜索本地磁盘文件
.wim
搜到一个FirstUXRes.WIM，是个系统文件，把它拷贝到桌面。用7z打开，删掉里面多余的内容，只保留一张图片，这样体积小点。

4.再找一个木马exe，压缩为木马.rar

5.打开C32asm，新建一个空文件，把FirstUXRes.WIM的内容粘贴到文件头部，把木马.rar粘贴到文件尾部，两者中间用很多个000隔开。

6.保存为111111.rar

大功告成。

这个文件用7z打开，打开的是头部的wim文件，是一张图片；用winrar打开，打开的是尾部的rar文档，是一个木马exe。360的下载保镖是用7z的代码解压的，所以是扫不到木马的。

--------

估计360不会优化或者说改进这个问题的，一个是不好改进吧（文件格式太多了），另一个这个也不算啥问题，对安全没有影响。


附件是测试样本，解压后不要运行里面的exe哦。

360主动防御

你好，感谢反馈，我们分析下