查看: 4342|回复: 26
收起左侧

[砖头] 砖头一枚:360我也是替你捉鸡

[复制链接]
kfne12
头像被屏蔽
发表于 2019-8-19 19:57:54 | 显示全部楼层 |阅读模式
本帖最后由 kfne12 于 2019-8-23 09:25 编辑

4楼,9楼,10楼,11楼,22楼更新几种方法。

-----------------------------


https://bbs.kafan.cn/thread-2155782-1-1.html

坛友zay365分享了一个360的BUG,下载防护压缩包内清楚失败的BUG。。

刚才测试发现360已经“修正”(带引号的)这个BUG了。
(360现在引入了自动升级组件的机制,不用手动下载安装包更新了,这点还是要点赞的)

不过,这BUG没修好,
修了半天还是骗自己的。

我觉得要么就不修,要么就认真修,骗自己就不好了。

话不多说,附件上3个。
这三个附件用7z和winrar都是能够解压出木马的。





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
360主动防御
发表于 2019-8-19 21:22:19 | 显示全部楼层
本帖最后由 360主动防御 于 2019-8-21 10:47 编辑

你好,感谢反馈,相关问题已经修改并提测待发布中。
zay365
头像被屏蔽
发表于 2019-8-20 11:01:45 | 显示全部楼层
所谓的“修复”就是文件名里有..\的就直接将整个压缩包隔离
kfne12
头像被屏蔽
 楼主| 发表于 2019-8-20 17:51:55 | 显示全部楼层
本帖最后由 kfne12 于 2019-8-20 17:58 编辑

捣鼓了一会。

又试出了3种让下载保镖找不着北的法子。直接传上来吧。。省得下次360又白更新一次。

第一种双引号法,效果最好

第二种设备名法,winrar不能解压。比较失败

第三种文件名末尾加点法,360下载保镖用7z模块解压又根据扩展名扫描,所以也会扫不到。

winrar,360自带可以正常解压,7z不能正常解压。



估计类似的方法还有,但是我暂时想不出来了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kfne12
头像被屏蔽
 楼主| 发表于 2019-8-20 17:54:09 | 显示全部楼层
zay365 发表于 2019-8-20 11:01
所谓的“修复”就是文件名里有..\的就直接将整个压缩包隔离

这样修还不如不修呢。

这种bug修不修对安全又没啥影响。

修个4分之1什么的,还不如不修呢。
zay365
头像被屏蔽
发表于 2019-8-20 18:20:53 | 显示全部楼层
kfne12 发表于 2019-8-20 17:51
捣鼓了一会。

又试出了3种让下载保镖找不着北的法子。直接传上来吧。。省得下次360又白更新一次。

双引号后的字符会被截断这个我也发现了,但感觉这个可能会引发安全漏洞,就让下载防护删除不掉这么利用太可惜了,所以就没发出来。不过我也没研究出什么结果,现在你把这个直接给发出来了,接下来会被修复,那么我继续研究也没什么意义了。
我各种特殊字符都试过了,只发现了一个如果压缩包里有个*.exe,那么这个目录下的所有exe文件都会被删除,子目录里的不会。但是如果文件名为*或*.*的话下载防护会直接扫不出来。
kfne12
头像被屏蔽
 楼主| 发表于 2019-8-20 19:41:50 | 显示全部楼层
zay365 发表于 2019-8-20 18:20
双引号后的字符会被截断这个我也发现了,但感觉这个可能会引发安全漏洞,就让下载防护删除不掉这么利用太 ...

双引号怎么引发安全漏洞,我是没想到,毕竟不太懂编程的那一些东西,没想那么远。


你下次可以研究研究点BUG到360的响应中心去反馈,可以换点¥。

我以前反馈过,没要他的奖金,换了几个安仔。后来因为一点破事,情绪激动骂人祖宗18代了,就没好意思再去那了
kfne12
头像被屏蔽
 楼主| 发表于 2019-8-20 23:00:29 | 显示全部楼层
本帖最后由 kfne12 于 2019-8-23 10:58 编辑
zay365 发表于 2019-8-20 18:20
双引号后的字符会被截断这个我也发现了,但感觉这个可能会引发安全漏洞,就让下载防护删除不掉这么利用太 ...

研究了下。

实际上数字的包内清除,肯定就是照抄的7z.exe

因为我试了,7z.exe命令行清除不了的360都清除不了。

但是双引号的情况可能复杂一点。

我猜测一下:
首先360下载防护并不是完全按照7z,如果是右键扫描逻辑更复杂。(但是下载防护处于效率考虑可能简化了点,所以更容易骗过他,不过这个不是现在讨论的)。

下载防护扫描完出来一个结果,我猜是形成了一份带毒文件名的列表。

每个文件名都是用双引号包含起来的。

然后360的程序根据列表再截取第一个引号和第二个引号,第三个引号和第四个引号,第五个和第六个引号之间的
字符串,拼接成一堆文件名列表交给照抄7z.exe的包内清除命令去清除。

但是如果文件名含有双引号,自然就乱套了。

这里面我感觉好像没法漏洞。。不知道你有啥看法。
kfne12
头像被屏蔽
 楼主| 发表于 2019-8-20 23:03:12 | 显示全部楼层
再加一个盘符法:
winrar 7z通用。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kfne12
头像被屏蔽
 楼主| 发表于 2019-8-21 00:19:51 | 显示全部楼层
再来一个终极的方法。

7zlistfile法。

今天就先这几种
睡觉去了。

明天再捣鼓


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:42 , Processed in 0.132263 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表