雷鸟下载

Kalium

swizzer 发表于 2020-10-8 22:32
智量官方入库的原因是注入。我这里主防确实没有报注入，但这个MalDllLoading报法本身并不可靠，因为有些 ...

小a说要examine it future后就没了下文

hmyroot

vm001 发表于 2020-10-8 21:46
卡饭现在没啥看头了。。。要不是在火绒群里看到这个帖子，进而智量就凭一个注入来断定程序是否是恶意，咱 ...

我也是从火绒论坛过来看热闹的

jshxsyq

vm001 发表于 2020-10-7 08:53
就事论事而已，这个软件用得着我去洗地？行为属不属于恶意要看他干了啥，而不是应为某一个动作定位恶意。 ...

最该杀的就是杀软，这句话强！

jshxsyq

至高神 发表于 2020-10-7 07:17
登录百度就要注入rundll32，这是什么逻辑？那我浏览器开个网页也要注入explorer？
不搞360急救箱和PCH的 ...

就是因为有没有行为监控记录这项，为了防反调试才会选关闭带行为监控记录的这也说得过去。如果这这么做雷鸟很可能早就失效了。

jshxsyq

RoyalFlare 发表于 2020-10-7 23:46
关于雷鸟下载的作者在Github项目主页写的声明 你信几分?

怕被人抓包分析 所以才关闭调试软件.自 ...

你是要残杀一个好软件知道吗？

人生意义

话说我的帖子怎么被屏蔽了？？？有什么违规之处吗？奇怪了

人生意义

我都忘了，被屏蔽的帖子说啥了，-_-||，算了，无所谓了，反正心里踏实了，以后，一般也不来了。

智量官方

经分析发现在某些特定情况下注入由browser控件中的GetPrivateContextsPerfCounters函数调用导致，该函数会使用DebugActiveProcess函数以调式权限附加到rundll32.exe上, 最终导致RtlCreateUserThread调用创建远程线程.

分析比较长时间主要是由于软件混淆和反调试比较复杂。雷鸟下载.exe只是一个loader, 真正的逻辑在AppStarter.clr文件中。该文件是加密后的压缩文件由主程序通过.net的加载托管程序集方法到内存中进行调用, 该文件解密后的DLL同样经过混淆，功能比较多需要分析时间. 这些逻辑的复杂性和它开源代码的不太一致也是我们深入分析的原因，它的开源代码只是涉及到一些界面代码。目前我们已经取消对此软件的检测.

人生意义

从我之前的测试分析看，所有引发安全软件告警的地方，都在他们开源的界面框架源码中体现出来了，可以确信，也就是他们声明说的：“1、源码释放的目的是让所有人清楚地看到在雷鸟下载中，引发360等安全软件告警的是哪些操作，其后的源码是什么样的，以解除大家的困扰。 你们可以看到，编译后的exe在单独执行时（非VS开发环境下），360会对其警告提示，甚至偶尔极端情况下，直接提示木马病毒，要求清除掉， 但其实后台代码啥都没做！这就是所谓的安全软件干的勾当！...”,"3、为何在点击登录时，会显示警告“有程序正在进行可疑操作...目标文件:.....rundll32.exe 程序正在进行远程线程注入”？ 原因：在软件官网 https://www.kancloud.cn/myzfb/thunderbird/1761695 ，已经说得很清楚，这是因为打开登录页面时，软件开发用到了EO.WebBrowser浏览器组件，作为非360白名单中的浏览器软件联网访问网页时，都会有这样的警告，且访问HTTPS网址时，还会弹出“有程序正在修改受信证书发行者”警告，这一点疑问，自己下载雷鸟开源代码，看看编译结果运行时是不是会出现上述两个警告，再看看源码里啥操作都没有，自会明白。"。至于源码混淆和防调试，他们的解释“4、出于保护软件未来持续可用的考虑，下载功能实现部分的源码未做放出，相信大家可以理解，除非您是想让雷鸟 “从开源，到窒息”，o(╯□╰)o 。”，“2、软件运行过程中，为何会默认关掉网络分析相关的应用？原因：确保雷鸟下载的网络服务接口不被抓包、针对。此前，被人恶意DDOS怕了，-_-||。当然，这样low的防范手段可能着实有些鸡肋，意义不大，不过聊胜于无吧 o(╯□╰)o。”,我选择相信他们说的，因为雷鸟下载以前有过临时不可用的情况，他们发公告说被DDOS了，而且他们后来的服务器地址也改了，还套了高防CDN。如果不采取防范手段的话，估计软件早就不能用了。

人生意义

话说，能把.net的程序加密保护到这个程度，能让一个杀软官方放弃努力，也挺牛逼了，哈哈，成功勾起我的兴趣，哪天有时间了，我也逆向试试。