楼主: 1970487511
收起左侧

[安全区] 【原创工具区】投诉ZSsafe的软件存在格盘行为

 关闭 [复制链接]
ZSsafe
发表于 2019-8-19 00:36:19 | 显示全部楼层
ZSsafe 发表于 2019-8-19 00:32
因为举报区没有编辑功能(刚接触卡饭不久,还不懂一些功能的使用),就在这里进行修正,将六楼的的 ...

噗嗤,9楼
qq892640791
发表于 2019-8-19 07:58:12 来自手机 | 显示全部楼层
有能力写出“杀毒软件”的人会不知道某模块里面有没有格盘暗装?不管你们信不信,反正我是不信~( ̄▽ ̄~)~

评分

参与人数 1经验 -120 收起 理由
Tarchia -120 首次扣10%经验

查看全部评分

ZSsafe
发表于 2019-8-19 10:47:26 | 显示全部楼层
qq892640791 发表于 2019-8-19 07:58
有能力写出“杀毒软件”的人会不知道某模块里面有没有格盘暗装?不管你们信不信,反正我是不信~( ̄▽ ̄~) ...

您好,关于您说的所谓的“格盘暗桩”是模块里公开的一个部分功能之一,这并不算暗桩,当检测到反编译等极端反常的行为时才会执行

还有后台这个问题,前面的督查大大也说了,并没有实质性破坏系统的问题

至于我为什么会不知道模块内的后台的,那是因为这个模块是我一好友推荐我使用的,出于信任我才没有细查,我在软件编写完成之后只是简单的在实机运行以及虚拟机运行测试后没问题才会推送发布的,而且当我发现此驱动模块存在后门的时候,当晚我连忙关闭了上一版本的下载链接,并熬夜赶工更换了新的驱动模块,并推送了更新
1970487511
 楼主| 发表于 2019-8-19 19:18:05 | 显示全部楼层
记录微笑 在八楼也说过。ZSsafe的确存在云端操控的嫌疑。
而我在两个不同的时期测试一个相同的程序却是不同的反应:
第一次:https://s.threatbook.cn/report/file/c1f8a2be52e1739a4d8475f97f73daeae71af56bcd5bf468862b38b5f7e4a10b/?sign=history&env=win7_sp1_enx86_office2013
第二次:https://s.threatbook.cn/report/file/c1f8a2be52e1739a4d8475f97f73daeae71af56bcd5bf468862b38b5f7e4a10b/?env=win7_sp1_enx64_office2013

因为智速存在云端操控的行为,自然可以用纯净的虚拟机断网测试一下旧版本的ZSsafe看看反应,最好用重装过后的虚拟机断网测试,免得ZSsafe检测到了用户真实使用的痕迹。 (0`NTSV4]6Y]E]JMQ99W$U6.png

针对QQ截图,我想说几张群截图证明不了什么。不管我是什么样的人,跟本帖的内容无关,不要转移话题。

针对那个模块进行的恶意操作,本帖我举报的是”ZSsafe的软件存在格盘行为“,也请不要转移话题。
Kaspersky用户
发表于 2019-8-19 20:23:49 | 显示全部楼层
补上魔盾的分析结果,从16号到19号对于1.1.6.8版本的ZSsafe主程序的分析有多个,均没有发现格盘或大量删除文件的行为,我挑三个放上来:https://www.maldun.com/analysis/YXNkZmRzZmFkc2YzNTUxMzRkc2Zhc2RmYXNkZg==/
https://www.maldun.com/analysis/YXNkZmRzZmFkc2YzNTY0Mzlkc2Zhc2RmYXNkZg==/
https://www.maldun.com/analysis/YXNkZmRzZmFkc2YzNTY0NDBkc2Zhc2RmYXNkZg==/
魔盾只有WIN7-64位的环境,为了满足14楼的要求,我同样把这个旧版主程序放到ANY.RUN分别在32位环境下联网和断网分析,同样没有发现楼主所说的行为。联网:https://any.run/report/c1f8a2be52e1739a4d8475f97f73daeae71af56bcd5bf468862b38b5f7e4a10b/4793f1ea-1dbb-4c69-9f2b-7f26f93e393d
断网:https://any.run/report/c1f8a2be52e1739a4d8475f97f73daeae71af56bcd5bf468862b38b5f7e4a10b/b4b96dc7-daf0-4b56-90a0-5fb7dc3105be#files
Q.png
X.png
Kaspersky用户
发表于 2019-8-19 20:27:51 | 显示全部楼层
补充说明:本人对此事件保持中立态度,出于好奇向当事者索要了相关程序

评分

参与人数 1经验 -187 收起 理由
Tarchia -187 扣除10%经验

查看全部评分

ZSsafe
发表于 2019-8-19 20:29:57 | 显示全部楼层
1970487511 发表于 2019-8-19 19:18
记录微笑 在八楼也说过。ZSsafe的确存在云端操控的嫌疑。
而我在两个不同的时期测试一个相同的程序却是不 ...

麻烦你搞清楚,我并没有扯开话题,只是附加了一些小图片供大家看看而已,而且我前面也做出解释了,格盘行为完全是给那些恶意去反编译智速安全助手去做一些,并且关于你的身份我只是顺便发出来而已哦,而且也没有扯开话题,我可没有明说你就是诸葛亮杀毒官方哦,请不要心虚哦,大家是大家,你是你,请不要老是把卡饭论坛上的热心坛友当成你以为的弱智小朋友,想骗就能骗

还有之所以会出现同一样本为什么会出现两个不同的结果是因为微步上的运行测试环境一个为win7的64位和win7的32位,样本:ZSsafe主程序(32位运行环境分析报告)
https://s.threatbook.cn/report/file/c1f8a2be52e1739a4d8475f97f73daeae71af56bcd5bf468862b38b5f7e4a10b/?sign=history&env=win7_sp1_enx86_office2013
2KLA247NHN$M5S3RD)J~GQT.png 0MC6IKQ(}F874V$H5YEL7}S.png

样本:ZSsafe主程序(64位运行环境分析报告)
https://s.threatbook.cn/report/file/c1f8a2be52e1739a4d8475f97f73daeae71af56bcd5bf468862b38b5f7e4a10b/?env=win7_sp1_enx64_office2013
P1MFAM_3KBP3BL]8I3R2O.png NI%JJGUZQK_6]ZN298{O3`P.png


还有,至于你说的检测用户真实使用的痕迹是因为那个驱动模块的进程防护导致的,请不要刻意带偏大家的思维和判断结果
现附上加了自身进程保护的模块例程的下载链接,模块还是那个模块只是加了“莫开启禁止结束并保护程序 ()”这一代码哦
链接:https://www.lanzous.com/i5o3a5c

以下是微步检测结果
样本:1.exe (32位运行环境分析报告)
https://s.threatbook.cn/report/f ... p1_enx86_office2013
样本:1.exe (64位运行环境分析报告)
https://s.threatbook.cn/report/f ... p1_enx64_office2013



还望卡饭官方明察
ZSsafe
发表于 2019-8-19 20:35:46 | 显示全部楼层
并且我已经在新版本中除去了格盘代码,并且更换了这个所谓的“后门”驱动模块,新的驱动模块将会更干净,更稳定,虽说会有其他安全厂商误拦但我已经主动向官方反馈申请加白了
1970487511
 楼主| 发表于 2019-8-19 20:43:42 | 显示全部楼层
ZSsafe 发表于 2019-8-19 20:29
麻烦你搞清楚,我并没有扯开话题,只是附加了一些小图片供大家看看而已,而且我前面也做出解释了,格盘行 ...

所以你承认自己的软件含有格盘代码了,是吧
1970487511
 楼主| 发表于 2019-8-19 20:46:03 | 显示全部楼层
ZSsafe 发表于 2019-8-19 20:35
并且我已经在新版本中除去了格盘代码,并且更换了这个所谓的“后门”驱动模块,新的驱动模块将会更干净,更 ...

我所举报的是“ZSsafe的软件存在格盘行为”,并未提及此后门模块
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 17:48 , Processed in 0.136231 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表