小小挑战下360的木马“云查杀”续－－金山、卡卡、360的比较

KK院长

本文来自;

      
版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://xiaridefeng.blogbus.com/logs/44608072.html


上次写了一些东西，是针对360的云木马查杀的。一直打算顺着这个再写一点，试着摸索下同类产品的查杀木马机制，无奈最近被房子和工作的事一直牵绊。今天终于把房子的事儿搞定了，不用担心“居无定所”了，趁着心情好，就把这剩下的一部分写出来。对不对的吧，做个探讨而已。
     安全辅助软件，市面上叫的比较响的，除了360安全卫士以外，还有金山公司的清理专家和瑞星的卡卡助手。我在虚拟机下先后装了这两款软件，用不同的攻击工具和木马样本来测试，看看各自的反应，以及在做了修改文件内容、加壳、加花指令等手段处理后的反应。
    先来说金山清理专家。安装好后的升级过程有点慢，毕竟虚拟机上网后，网速很差，差不多花了十几分钟，才完成了整个特征库的升级。之后手动扫描Domain3.5，马上报告是hacktool，反馈还是很迅速的。我拿出了对付360的办法：反汇编！用OD将Domain反汇编后，随便挑选了一句Domain界面的汇编内容，修改了最后的一个字节。然后编译成新的exe，试验了下，Domain可以正常工作，但MD5变了。拿出清理专家扫描下看看效果，居然依旧报告是hacktool，丝毫不理会MD5的改变。这一点让我着实欣喜了一下的。看来金山清理专家在扫描部分，根本不像360安全卫士那般弱智，而是采取了特征码对比的专业病毒查杀手法。
     这也算是一个小挑战了，我还就不信过不了金山特征库的查杀了～不妨加壳来试试看呢。给原版的Domain加了一个Aspack的壳。之所以选择这个壳，不仅是冲着他的名气够大，也是有特殊的意义。从我判断来说，我手里这款Aspack仅仅是压缩壳，只大范围的缩小被保护程序的大小，而不做任何的加密（针对这一点我并不是十分的确定，毕竟没有专门的研究过各种壳，也只敢做这么个推断）。出乎我预料的是，加壳后的程序依旧没能逃过金山清理专家的查杀。看来，我这种反汇编的小菜，想对付金山还是有些难度的。再来试试加花吧。加花指令，是做免杀的常用办法，可惜的是，我选择的两种简单的加花手法，依然没能绕过金山。长话短说，试验了几次后，我才最终找到一个能绕过金山清理专家的办法：用加密壳！我选的是之前提过的仙剑，只有这个可以成功免杀。不得不佩服金山在对待这款安全辅助类软件上，还是着实下了一番努力的。
      接下来出场的，是大名鼎鼎的卡卡助手。小狮子的名气要远大于安全卫士和金山清理专家，很多瑞星的粉丝对此也是趋之若鹜。可这次试验，卡卡助手的确让我崩溃的差点吐血。
      先是拿Domian来做查杀，居然任何危害都不报告！当时我心里是十分happy的，我以为卡卡能够成功的区分木马和黑客工具。为了继续这个测试，我拿出了海阳顶端木马。海阳这东西，基本上玩黑的都用过，拿到网站后台之后做提权，免不了的要用到它，不仅提权效果好，而且功能十分强大！因此他也成了各个杀软的众矢之的，无一不是将其置于死地而后快。没想到，卡卡助手对海阳也采取了极为友好的态度：依旧不报告！没办法，我只好去卡饭论坛下载了两个木马样本，解压缩后，释放出五个文件，有exe也有dll。这可是实实在在的木马啊，无奈，卡卡全部无视！前前后后我一共下载了四个木马样本，共释放出文件27个，卡卡助手一个都不报告。我彻底失望了，不知道这款号称“彻底查杀百余万种流行盗号木马”的所谓安全辅助软件，在查杀木马部分，究竟有何用处。
      总结下，360安全卫士的所谓“木马云查杀”，只不过是对比文件和特征库的MD5，根本谈不上有效查杀，跟Google的云计算技术，也丝毫扯不上关系。在面对层出不穷的新木马、免杀技术时，360不堪一击。而其软件又不厌其烦的打开各种保护措施，除了占用了用户机子的内存外，别无他用。
      卡卡助手，基本没有木马查杀的功能。可能是我选取的木马样本都恰好不在他的特征库里面吧，我只好这么安慰广大瑞星的用户。
     金山清理专家，不仅可以对付简单的加壳、加花免杀手段，而且特征库够大，木马查杀技术在同类软件中属于佼佼者。而漏洞修复和日常清理，也丝毫不逊色任何一款同类型产品。      
     回头看看，做了这两次测试，并不是为了凸显某家的产品效果更好，也绝不是为了做“枪手”抨击某家公司，我犯不上。我只是想通过自己的实际测试和体会，探究一下，一个个口号吹的震天响，广告做的比天大的安全辅助类软件，在木马查杀功能方面，各自的扫描机制是怎样的。毕竟，在中国的软件界，抄袭是一个永不落伍的运作手段！造成的后果就是同类型软件的同质化。而恶意软件清理、漏洞修补、清理历史痕迹这些功能，做不出什么花样，更没法体现出技术含量的高低，唯有木马查杀部分，不仅没法作假，而且关系到用户最根本的利益保障。
     续几句，TW刚刚推出了安全辅助扩展，就是跟金山合作的。原理很简单，金山提供被挂了马的网址特征库，浏览器每次在访问页面之前，先用URL进行对比，若在特征库内，说明被挂了马的，则拦截之。做完这些之后，我十分庆幸开发组没有在这个扩展方面和360继续合作。

360的我补一下，

http://xiaridefeng.blogbus.com/logs/43559052.html





版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://xiaridefeng.blogbus.com/logs/44608072.html

[ 本帖最后由 KK院长 于 2009-11-14 09:00 编辑 ]

will

貌似TW也有跟360合作，出的插件叫安全红绿灯。。。

寻心启示

金山清理专家一直很不错的

zzirong

对360测都没测就胡乱评价 ，还敢声称什么以黑客的角度看，屁~

qwe12301

清理专家的那个不是云查杀

wevol

差不多现实就是这样的~~
卡卡 做辅杀是糊弄人~~从卡卡3.0开始就是这样~~
360~还是总是忘不掉3721的本性~ ~
还不如以前的文件名查杀~

getgod

360这么多东西里除了补漏洞和浏览器这两个功能还行。。别的可以无视。。个人感觉还是金山清理专家好点。四楼的兄弟。。360确实不杂地。。你已经盲目的推崇360了。。比我以前喜欢360还严重。。反正我已从喜欢到讨厌。

挪威的冬天

这种明显是茶社贴...

已经预设好观点了...

caixx

如果有打开原帖，查看相关内容，就会知道360的也测了。

KK院长

其实360的也测了，我只是个转贴的，我不是本文的作者。360的我补一下，

http://xiaridefeng.blogbus.com/logs/43559052.html