折磨王问题

AlphaRabbit

请根据以下三个问题，来判断这三个软件是不是恶意软件？
（此问题用于折磨那些认为光看行为就可以判断这是不是恶意软件的人）

有一个软件，它会加载一个第一阶段驱动，然后，它会禁用掉PatchGuard和驱动程序强制签名（用来加载二阶段驱动），在Windows 7 x64上它还会用虚拟化技术完全接管Windows内核。

有这么个软件：它加载驱动后，会暴力搜索内存里所有它认为是可执行（PE）代码的内存数据，然后把这些数据打包扔回服务器，并且此软件使用了比VMP还离谱的加密壳。

有一个软件，你打开后它就会往系统里加载一个第一阶段驱动，这个驱动负责执行一些奇怪的代码。同时，这个软件还会破坏掉LoadImage回调之类的导致任务管理器看不到它。

（隐藏内容请反白查看，下面有隐藏内容）




……
我知道有些人肯定会搞不明白，因此在这里揭晓问题答案：

1.这个软件叫TenProtect，也就是TP反作弊系统（腾讯游戏）。现在腾讯放弃了TP，用ACE去了。

2.这个软件叫Easy Anti Cheat。

3.这个软件叫360急救箱。

huangzihang

你说的这些不过只是特定针对病毒或者作弊器，还有一个软件，它会开启自启动，并且在设置启动栏无法找到它，它把自己的优先级提前到系统服务层面，并且其本体的exe会在ring3层面保护它启动的服务，无法直接结束，它会扫描你的个人文件并且不断尝试向zyx.qq.com外联发送你的个人信息，这个算不算后门呢？
这个软件叫qqprotect.exe（Q盾）

另外你说的这些东西如果没有有效签名的话本就会被报毒，不报毒仅仅只是因为有有效签名，恶意特征但是靠着厂商的企业信誉背书，仅此而已；

十年前360最大规模的密码泄露【就是上传用户密码到服务器，没口令谁都可以下载的那次，csdn神级密码ppnn13%dkstFeb.1st（娉娉袅袅十三余豆蔻梢头二月初）泄露的那次】单从这次事件上看难道跟Rootkit有区别吗。有恶意行为的软件可以靠着信誉背书保证不用于作恶，这正是数字签名存在的意义。

Eunismal

1不知道是什么，2是EAC吧，3是360急救箱(如果是杀毒软件，用点奇奇怪怪的技术也没问题，因为病毒也是用各种手段防杀软)？

清道夫900

不就是卡巴斯基嘛  

AlphaRabbit

Eunismal 发表于 2023-3-22 09:46
1不知道是什么，2是EAC吧，3是360急救箱(如果是杀毒软件，用点奇奇怪怪的技术也没问题，因为病毒也是用各种 ...

一是TP反作弊系统，现在已经弃用，腾讯开发了ACE（Anti Cheat Expert）来替换它。同时，ACE也是公开给第三方出售的。
对的，二就是Easy Anti Cheat。

LeeHS

所以国外没有第一个软件，因为他不敢那么做，3q大战不就是因为这这件事吗？至于第三个，我用crowdstrike可以检测到，况且运行的时候官方也说了不应该有第三方杀软。

AlphaRabbit

LeeHS 发表于 2023-3-22 11:47
所以国外没有第一个软件，因为他不敢那么做，3q大战不就是因为这这件事吗？至于第三个，我用crowdstrike可 ...

其实这个问题是在嘲讽过去的我自己，我曾经有段时间就认为只看行为，就可以判断是否恶意。

然后有个搞过内核开发的人，就问了我第一个问题，于是我哑口无言。

fsts1014911532

ESET会杀掉第一个，卡巴斯基选择无视第一个，所以第一个到底归不归为病毒类呢？

LeeHS

AlphaRabbit 发表于 2023-3-22 12:18
其实这个问题是在嘲讽过去的我自己，我曾经有段时间就认为只看行为，就可以判断是否恶意。

然后有个搞 ...

其实这些行为一直都有问题，只不过我们都习惯逆来顺受。就好像某人说的x国人不在乎自己的用户隐私换取方便。

LeeHS

fsts1014911532 发表于 2023-3-22 12:49
ESET会杀掉第一个，卡巴斯基选择无视第一个，所以第一个到底归不归为病毒类呢？

这种我们可以解释为，敏感度不同