【原创工具区】投诉ZSsafe的软件存在格盘行为

1970487511

帖子链接：https://bbs.kafan.cn/thread-2155194-1-1.html
理由：ZSsafe的软件存在格盘行为
附图：

Tarchia

@ZSsafe 请针对投诉内容作出适当回复。

ZSsafe

Tarchia 发表于 2019-8-18 19:28
@ZSsafe 请针对投诉内容作出适当回复。

卡饭官方您好，关于我的智速安全助手格盘问题，我之前有在帖子上用红字注明过，并在上面说明在日常使用情况下不会触发，但是一旦检测到反编译等极端行为自然就会触发，您可以看一下图片

附上链接：https://bbs.kafan.cn/thread-2155194-1-1.html

还有关于删除系统文件是因为当初在软件测试的时候并不清楚所调用的驱动模块存在后台行为，我在发现后的当前，也就是前天，熬夜连忙赶工替换了全新的驱动模块，并在凌晨1点左右推送了更新
，并且您可以看一下我随便用空的程序调用那个驱动模块后在微步平台分析后的结果https://s.threatbook.cn/report/f ... p1_enx86_office2013

并附上那个存在后台的问题驱动模块，以及程序的下载链接https://www.lanzous.com/i5lo0pa

ZSsafe

以下是新版本的微步分析结果：
https://s.threatbook.cn/report/f ... p1_enx64_office2013

https://s.threatbook.cn/report/f ... p1_enx64_office2013

ZSsafe

Tarchia 发表于 2019-8-18 19:28
@ZSsafe 请针对投诉内容作出适当回复。

并且@1970487511 此人之前不仅仅没有好好的问清楚就直接斩钉截铁地说我在后台控制ZSsafe来做非法的事，并且试图用来污蔑以及诋毁我的智速安全助手



希望卡饭官方能够还我一个公道

ZSsafe

再给各位看一下图片



具体此人到底是什么身份，这我就不用多说了吧
附上链接：https://bbs.kafan.cn/forum.php?m ... ;page=2#pid44596941

ZSsafe

还望卡饭官方明察，还我和我都智速安全助手一个清白

记录微笑

本来我是不想对此事发表看法的，但是想想还是发表了。先写在前面，为了有人说更新的时候去除了恶意代码，我测试的是更新前的版本。

版本

首先，这个软件无论是实体机运行还是虚拟机运行都没有问题，实体机安装的McAfee Endpoint Security 10.7版本在运行时也没有报毒（ATP打开的状态下没有检测到任何可疑行为）。以下为截图：

McAfee ENS为最新版

扫描

运行

即使用虚拟机打开运行也没有问题：

虚拟机

================================分===割===线========================================
下面对微步等平台的结果进行陈述：

首先，将微步平台的分析时间拉到240S，分析结果中并没有有关删除文件的操作：

链接点击这里

其次，腾讯哈勃分析平台也没有任何有关删除文件的高危提示：
链接点击这里

另外，关于原帖中提到的云端问题，微步中确实有反映：


但是，这个域名打开并没有任何异常


并且，微步上显示连接到这个域名的样本有十几个之多，并且都是易语言：



再回到对zssafe的分析报告，微步显示这个域名的访问是由ctfmon.exe执行的（由于太长没截下来，可以自己打开我上面贴上的微步分析链接查看）：


经过对这些软件共同使用的模块（名称：莫防破解模块）进行反编译分析，发现了原因
这个模块中的一个子程序调用ctfmon.exe来执行一切：


并且这个子程序在启动子程序中就被调用，也就是说，一旦使用了这个模块，这个软件就会在启动时执行这一切：


综上，这些看似恶意的行为并不是作者zssafe自己设计的，而是他使用的一个模块造成的，并且对电脑不会造成实质性损坏。
（个人猜测这些联网操作是模块作者为了刷流量赚钱设计的）

在更新的版本中作者zssafe更换了这个模块，已经没有这些行为：


陈述到此结束

ZSsafe

再补上一张图片，大伙儿可以对接6楼的第一张图片

ZSsafe

ZSsafe 发表于 2019-8-19 00:28
再补上一张图片，大伙儿可以对接6楼的第一张图片

因为举报区没有编辑功能（刚接触卡饭不久，还不懂一些功能的使用），就在这里进行修正，将六楼的的“对接”改为“对照”，抱歉哈