瑞星所特有的内存查杀的可行性技术分析（图文并茂，详细讲解，欢迎测试）

tanlimo

1、因为中国大陆地区大约有70%的网民都在使用瑞星，资源巨大。

2、世界上任何杀软都逃不过免杀的命运

3、灰色产业链条的各个战斗单位时刻准备着。。。。。

1+2+3=瑞星的用户时刻都战斗的最前沿死伤惨重不足为奇......

[ 本帖最后由 tanlimo 于 2009-4-5 23:43 编辑 ]

cpdcrusaderin

小星星不是一个人在战斗。。

cokea

对同一个文件（注意，是本体）的扫描和执行结果不同才能说明两套特征码彼此不同
另外，最后某星报的是ie还是插入模块，如果对该模块进行扫描是否结果相同

yjwfdc

实机，《智能版eq》测试结果


点允许


点允许


点阻止


点允许


点允许


点允许7次




2009-04-05 23:51:33    创建文件      操作:允许
进程路径:C:\Documents and Settings\lwx\桌面\木马病毒样本，解压密码是kafan\服务端99999.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\MSInfo\5201314.exe
触发规则:所有程序规则->175_CommonProgramFilesx->%CommonProgramFiles%\Microsoft Shared\MSInfo\*.exe

2009-04-05 23:52:55    修改文件      操作:允许
进程路径:C:\Documents and Settings\lwx\桌面\木马病毒样本，解压密码是kafan\服务端99999.exe
文件路径:(隐藏文件>C:\Program Files\Common Files\Microsoft Shared\MSInfo\5201314.exe
触发规则:所有程序规则->175_CommonProgramFilesx->%CommonProgramFiles%\Microsoft Shared\MSInfo\*.exe

2009-04-05 23:53:34    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\99999999999999999999999
注册表名称:[Key]
触发规则:应用程序规则->030_信任x->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\*

2009-04-05 23:54:16    创建文件      操作:允许
进程路径:C:\Documents and Settings\lwx\桌面\木马病毒样本，解压密码是kafan\服务端99999.exe
文件路径:C:\WINDOWS\system32\Deleteme.bat
触发规则:所有程序规则->110_保护系统exe_x->%windir%\system32\*.bat

2009-04-05 23:54:56    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\lwx\桌面\木马病毒样本，解压密码是kafan\服务端99999.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\WINDOWS\system32\Deleteme.bat
触发规则:所有程序规则->070_命令行x->*\cmd.exe

2009-04-05 23:55:44    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\lwx\桌面\木马病毒样本，解压密码是kafan\服务端99999.exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe
触发规则:所有程序规则->070_命令行x->C:\Program Files\Internet Explorer\iexplore.exe

2009-04-05 23:55:49    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\lwx\桌面\木马病毒样本，解压密码是kafan\服务端99999.exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe
触发规则:所有程序规则->070_命令行x->C:\Program Files\Internet Explorer\iexplore.exe

2009-04-05 23:55:50    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\lwx\桌面\木马病毒样本，解压密码是kafan\服务端99999.exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe
触发规则:所有程序规则->070_命令行x->C:\Program Files\Internet Explorer\iexplore.exe

2009-04-05 23:55:57    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\lwx\桌面\木马病毒样本，解压密码是kafan\服务端99999.exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe
触发规则:所有程序规则->070_命令行x->C:\Program Files\Internet Explorer\iexplore.exe

2009-04-05 23:55:57    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\lwx\桌面\木马病毒样本，解压密码是kafan\服务端99999.exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe
触发规则:所有程序规则->070_命令行x->C:\Program Files\Internet Explorer\iexplore.exe

2009-04-05 23:55:58    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\lwx\桌面\木马病毒样本，解压密码是kafan\服务端99999.exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe
触发规则:所有程序规则->070_命令行x->C:\Program Files\Internet Explorer\iexplore.exe

2009-04-05 23:55:58    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\lwx\桌面\木马病毒样本，解压密码是kafan\服务端99999.exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe
触发规则:所有程序规则->070_命令行x->C:\Program Files\Internet Explorer\iexplore.exe

2009-04-05 23:56:12    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\Deleteme.bat
触发规则:应用程序规则->111_脚本x->*\cmd.exe->%windir%\*

[ 本帖最后由 yjwfdc 于 2009-4-6 00:25 编辑 ]

realsingmsn

原帖由 tanlimo 于 2009-4-5 23:41 发表
1、因为中国大陆地区大约有70%的网民都在使用瑞星，资源巨大。

2、世界上任何杀软都逃不过免杀的命运

3、灰色产业链条的各个战斗单位时刻准备着。。。。。

1+2+3=瑞星的用户时刻都战斗的最前沿死伤惨重不足 ...

需要免杀？

迷惘依然

回楼上的,那的确是同一个文件,就是同一本体,报那个模块,是因为那个木马是用IE加载的,而IE也是会加载其它正常模块的,因此瑞星就这样报了,但清除的还是那个exe的木马的....

fatelinegod

看了楼主的文字与图，得出一些结论：
1个别人根本没有看完楼主的东西
2个别人根本没有看懂，智商问题
3有些人只是为了反对而反对，自己是没有思想的

建议楼主在图文之后能进行简单，明了的总结，因为卡饭有些人没有耐心看，或者并不具备思想的能力，
楼主可以列出中心句和重点词汇，这样更能表达楼主自己的私人看法，也方便别人交流意见

[ 本帖最后由 fatelinegod 于 2009-4-6 00:58 编辑 ]

luoyou1988117

楼主说过了，只是说明瑞星有内存查杀这个技术而已，又没说怎么怎么样，没想到引来这么多的不理解和口水，哎，无语了

jpzy

104#的飘做了HIPS行为比对！
很明显，这个样本首先释放一个本体到某路径，然后通过修改注册表创建一个服务（为的是开机自动加载），接下来是释放了一个deleteme.bat的脚本，为的是加载成功以后删除自己；然后就是运行以后通过修改内存的方式加载到IE里面去（这肯定是为了过防火墙了），最后是调用cmd来删除自己！

跟我之前分析的一样。通过修改IE内存的方式来加载。因为修改的内存空间刚好是图中所报的那个模块所在的空间，所以瑞星这样报了。说明瑞星内存扫描跟手动扫描使用了不同的特征码（如果是相同，那么这里肯定发现不了）。

唯一郁闷的就是，内存扫描必须手动才能发现，那基本上相当于摆设了。因为不能实时发现啊！除非像某些大牌安软那样定时扫描一次内存…………

再强调一下，首先这个帖子讨论的是瑞星是否具有内存特征码的问题，不是瑞星是否能满足各位要求的问题。如果觉得瑞星不能满足各位的要求，那么请不要选择瑞星！其次，看清楚LZ所表达的意图，反对要有合理的证据。请不要拿其它安软的扫描结果出来，那跟这个帖子讨论的结果不相关！最后，想证明瑞星不好，请拿出证据，就像LZ这样，有图有真相，不要空口白话的说什么：瑞星动不动就中毒~~~~

士兵许三多

看不懂，都是高说，顶起来好了