对于红伞最近出现的"双后缀门"事件的个人浅显分析

显示全部楼层 · 发表于 2008-4-12 19:39:29

能通过俺简陋粗鄙的实验来分析出事情的本质是俺最想看到的～～

认识问题讨论问题解决问题并且不带个人好恶的研究问题是俺的最终目标～～

愿大家平和讨论，就事论事，最好不要拘泥于具体字眼或局部细节，透过现象看本质嘛

[ 本帖最后由 hddgmon 于 2008-4-12 19:42 编辑 ]

显示全部楼层 · 发表于 2008-4-12 19:41:05

一般用户也不会自己搞出个双后缀名来～关注红伞误报还是该把注意力放在我们常用但无害的东西上

显示全部楼层 · 发表于 2008-4-12 21:08:55

强烈建议楼主改标题，红伞这么好的软件不要跟一些无聊的事无聊的字眼扯到一起

显示全部楼层 · 发表于 2008-4-12 21:24:09

原帖由 ykz1991 于 2008-4-12 19:10 发表
至于crypted.E可能是壳+后缀名的启发
OK，这件事算完了，请别再磨叽了

随便对一些无毒的执行文件加壳，再双扩展名，红伞会警报，这时其实和杀毒能力没有关系了

显示全部楼层 · 发表于 2008-4-12 21:31:53

原帖由 wayaya 于 2008-4-12 21:24 发表

随便对一些无毒的执行文件加壳，再双扩展名，红伞会警报，这时其实和杀毒能力没有关系了

正常的程序会这么做吗？！

显示全部楼层 · 发表于 2008-4-12 21:34:50

原帖由 zwl2828 于 2008-4-12 21:31 发表

正常的程序会这么做吗？！

会！+密压缩是对付逆向工程的，以保护代码，被普遍应用。而双后缀往往应用在升级过程中防止意外而备份的过程！

[ 本帖最后由 hddgmon 于 2008-4-12 21:37 编辑 ]

显示全部楼层 · 发表于 2008-4-12 21:35:29

拜托antivir没那么傻

显示全部楼层 · 发表于 2008-4-12 21:38:45

原帖由 闪电战 于 2008-4-12 18:22 发表
额~不要啥都弄个门出来好不好？

我一直认为XX门是某些不学无术的妓者瞎凑热闹乱用
Water Gate可以一个整体专有名词

同感

不喜欢“XX门”的说法

[ 本帖最后由伞兵づ泡泡于 2008-4-12 21:56 编辑 ]

显示全部楼层 · 发表于 2008-4-12 21:42:53

敢问楼主有没有试过其他杀软呢？？？？

显示全部楼层 · 发表于 2008-4-12 21:55:47

原帖由 huanxu 于 2008-4-12 21:42 发表
敢问楼主有没有试过其他杀软呢？？？？

文件 _ASPack_lame.aaa.exe 接收于 2008.04.12 15:52:20 (CET)
反病毒引擎;版本;最后更新;扫描结果
AhnLab-V3;2008.4.12.0;2008.04.11;-
AntiVir;7.6.0.85;2008.04.11;-
Authentium;4.93.8;2008.04.11;-
Avast;4.8.1169.0;2008.04.12;-
AVG;7.5.0.516;2008.04.12;-
BitDefender;7.2;2008.04.12;-
CAT-QuickHeal;9.50;2008.04.12;-
ClamAV;0.92.1;2008.04.12;-
DrWeb;4.44.0.09170;2008.04.12;-
eSafe;7.0.15.0;2008.04.09;Suspicious File
eTrust-Vet;31.3.5692;2008.04.11;-
Ewido;4.0;2008.04.12;-
F-Prot;4.4.2.54;2008.04.11;-
F-Secure;6.70.13260.0;2008.04.11;-
FileAdvisor;1;2008.04.12;-
Fortinet;3.14.0.0;2008.04.12;-
Ikarus;T3.1.1.26.0;2008.04.12;-
Kaspersky;7.0.0.125;2008.04.12;-
McAfee;5272;2008.04.11;-
Microsoft;1.3408;2008.04.12;-
NOD32v2;3020;2008.04.11;-
Norman;5.80.02;2008.04.12;-
Panda;9.0.0.4;2008.04.12;-
Prevx1;V2;2008.04.12;-
Rising;20.39.52.00;2008.04.12;-
Sophos;4.28.0;2008.04.12;-
Sunbelt;3.0.1041.0;2008.04.12;-
TheHacker;6.2.92.275;2008.04.12;-
VBA32;3.12.6.4;2008.04.06;-
VirusBuster;4.3.26:9;2008.04.12;-
Webwasher-Gateway;6.6.2;2008.04.11;-

附加信息
File size: 199168 bytes
MD5...: b0e631984eb9f471a17f22627dba5b5e
SHA1..: 1b1f261a8f8f40394bfed2c68fd362c94bd29fa0
SHA256: 673c477cdc82f855329ed086a69e9e815e3ccc4f72092dd4d7ecec6770117a84
SHA512: e82a1b78c4296efc5f492f2c60434d1d76f5cc1c15ae8d2883270d90d0a64d6a 267ab758e21d70db78d4296b6dbad03728f34d11bc2b76033061ca940eb14a9b
PEiD..: ASPack v2.12
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4c2001 timedatestamp.....: 0x4516b447 (Sun Sep 24 16:37:27 2006) machinetype.......: 0x14c (I386) ( 9 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x6e000 0x25c00 8.00 6b0b61b50205e21ad0de303d75ddebfc CODE32 0x6f000 0x2000 0x800 7.18 86c6a6489d842e31b85cf41d3e01ecb9 .rdata 0x71000 0x1000 0x800 6.78 ea13c0637377941e3a8f381240174190 .data 0x72000 0x40000 0x3e00 7.94 192cc4f75a578af43f46858be50cb4eb .data1 0xb2000 0xe000 0x3a00 7.98 9be8c3be6f7ccf636c233ba68dcefee2 DATA32 0xc0000 0x1000 0x400 4.87 6c283643b7b4a4f67c122439bf54ea58 _DATA 0xc1000 0x1000 0xc00 7.45 6b794c0d9145cfb6d2be2b8c08c6cf87 .aspack 0xc2000 0x1000 0x1000 6.07 ac8c78fd80d98855288a391230c4c13e .adata 0xc3000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e ( 1 imports ) > kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA ( 0 exports ) 
packers (Kaspersky): ASPack
packers (F-Prot): Aspack

[ 本帖最后由 hddgmon 于 2008-4-12 21:56 编辑 ]

[技术原创] 对于红伞最近出现的"双后缀门"事件的个人浅显分析

回复 14楼 wayaya 的帖子