查看: 12152|回复: 50
收起左侧

[转帖] 小小挑战下360的木马“云查杀”续--金山、卡卡、360的比较

[复制链接]
KK院长
发表于 2009-11-10 13:22:13 | 显示全部楼层 |阅读模式
本文来自;

      
版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://xiaridefeng.blogbus.com/logs/44608072.html


上次写了一些东西,是针对360的云木马查杀的。一直打算顺着这个再写一点,试着摸索下同类产品的查杀木马机制,无奈最近被房子和工作的事一直牵绊。今天终于把房子的事儿搞定了,不用担心“居无定所”了,趁着心情好,就把这剩下的一部分写出来。对不对的吧,做个探讨而已。
     安全辅助软件,市面上叫的比较响的,除了360安全卫士以外,还有金山公司的清理专家和瑞星的卡卡助手。我在虚拟机下先后装了这两款软件,用不同的攻击工具和木马样本来测试,看看各自的反应,以及在做了修改文件内容、加壳、加花指令等手段处理后的反应。
    先来说金山清理专家。安装好后的升级过程有点慢,毕竟虚拟机上网后,网速很差,差不多花了十几分钟,才完成了整个特征库的升级。之后手动扫描Domain3.5,马上报告是hacktool,反馈还是很迅速的。我拿出了对付360的办法:反汇编!用OD将Domain反汇编后,随便挑选了一句Domain界面的汇编内容,修改了最后的一个字节。然后编译成新的exe,试验了下,Domain可以正常工作,但MD5变了。拿出清理专家扫描下看看效果,居然依旧报告是hacktool,丝毫不理会MD5的改变。这一点让我着实欣喜了一下的。看来金山清理专家在扫描部分,根本不像360安全卫士那般弱智,而是采取了特征码对比的专业病毒查杀手法。
     这也算是一个小挑战了,我还就不信过不了金山特征库的查杀了~不妨加壳来试试看呢。给原版的Domain加了一个Aspack的壳。之所以选择这个壳,不仅是冲着他的名气够大,也是有特殊的意义。从我判断来说,我手里这款Aspack仅仅是压缩壳,只大范围的缩小被保护程序的大小,而不做任何的加密(针对这一点我并不是十分的确定,毕竟没有专门的研究过各种壳,也只敢做这么个推断)。出乎我预料的是,加壳后的程序依旧没能逃过金山清理专家的查杀。看来,我这种反汇编的小菜,想对付金山还是有些难度的。再来试试加花吧。加花指令,是做免杀的常用办法,可惜的是,我选择的两种简单的加花手法,依然没能绕过金山。长话短说,试验了几次后,我才最终找到一个能绕过金山清理专家的办法:用加密壳!我选的是之前提过的仙剑,只有这个可以成功免杀。不得不佩服金山在对待这款安全辅助类软件上,还是着实下了一番努力的。
      接下来出场的,是大名鼎鼎的卡卡助手。小狮子的名气要远大于安全卫士和金山清理专家,很多瑞星的粉丝对此也是趋之若鹜。可这次试验,卡卡助手的确让我崩溃的差点吐血。
      先是拿Domian来做查杀,居然任何危害都不报告!当时我心里是十分happy的,我以为卡卡能够成功的区分木马和黑客工具。为了继续这个测试,我拿出了海阳顶端木马。海阳这东西,基本上玩黑的都用过,拿到网站后台之后做提权,免不了的要用到它,不仅提权效果好,而且功能十分强大!因此他也成了各个杀软的众矢之的,无一不是将其置于死地而后快。没想到,卡卡助手对海阳也采取了极为友好的态度:依旧不报告!没办法,我只好去卡饭论坛下载了两个木马样本,解压缩后,释放出五个文件,有exe也有dll。这可是实实在在的木马啊,无奈,卡卡全部无视!前前后后我一共下载了四个木马样本,共释放出文件27个,卡卡助手一个都不报告。我彻底失望了,不知道这款号称“彻底查杀百余万种流行盗号木马”的所谓安全辅助软件,在查杀木马部分,究竟有何用处。
      总结下,360安全卫士的所谓“木马云查杀”,只不过是对比文件和特征库的MD5,根本谈不上有效查杀,跟Google的云计算技术,也丝毫扯不上关系。在面对层出不穷的新木马、免杀技术时,360不堪一击。而其软件又不厌其烦的打开各种保护措施,除了占用了用户机子的内存外,别无他用。
      卡卡助手,基本没有木马查杀的功能。可能是我选取的木马样本都恰好不在他的特征库里面吧,我只好这么安慰广大瑞星的用户。
     金山清理专家,不仅可以对付简单的加壳、加花免杀手段,而且特征库够大,木马查杀技术在同类软件中属于佼佼者。而漏洞修复和日常清理,也丝毫不逊色任何一款同类型产品。      
     回头看看,做了这两次测试,并不是为了凸显某家的产品效果更好,也绝不是为了做“枪手”抨击某家公司,我犯不上。我只是想通过自己的实际测试和体会,探究一下,一个个口号吹的震天响,广告做的比天大的安全辅助类软件,在木马查杀功能方面,各自的扫描机制是怎样的。毕竟,在中国的软件界,抄袭是一个永不落伍的运作手段!造成的后果就是同类型软件的同质化。而恶意软件清理、漏洞修补、清理历史痕迹这些功能,做不出什么花样,更没法体现出技术含量的高低,唯有木马查杀部分,不仅没法作假,而且关系到用户最根本的利益保障。
     续几句,TW刚刚推出了安全辅助扩展,就是跟金山合作的。原理很简单,金山提供被挂了马的网址特征库,浏览器每次在访问页面之前,先用URL进行对比,若在特征库内,说明被挂了马的,则拦截之。做完这些之后,我十分庆幸开发组没有在这个扩展方面和360继续合作。

360的我补一下,

http://xiaridefeng.blogbus.com/logs/43559052.html





版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://xiaridefeng.blogbus.com/logs/44608072.html

[ 本帖最后由 KK院长 于 2009-11-14 09:00 编辑 ]
will
发表于 2009-11-10 13:28:15 | 显示全部楼层

回复 1楼 KK院长 的帖子

貌似TW也有跟360合作,出的插件叫安全红绿灯。。。
寻心启示
发表于 2009-11-10 13:43:26 | 显示全部楼层
金山清理专家一直很不错的
zzirong
发表于 2009-11-10 14:29:15 | 显示全部楼层
对360测都没测就胡乱评价 ,还敢声称什么以黑客的角度看,屁~

评分

参与人数 1经验 -2 收起 理由
will -2 抱歉,请注意回帖内容;

查看全部评分

qwe12301
发表于 2009-11-10 14:38:29 | 显示全部楼层
清理专家的那个不是云查杀
wevol
发表于 2009-11-10 14:44:46 | 显示全部楼层
差不多现实就是这样的~~
卡卡 做辅杀是糊弄人~~从卡卡3.0开始就是这样~~
360~还是总是忘不掉3721的本性~ ~
还不如以前的文件名查杀~
getgod
发表于 2009-11-10 15:13:51 | 显示全部楼层
360这么多东西里除了补漏洞和浏览器这两个功能还行。。别的可以无视。。个人感觉还是金山清理专家好点。四楼的兄弟。。360确实不杂地。。你已经盲目的推崇360了。。比我以前喜欢360还严重。。反正我已从喜欢到讨厌。
挪威的冬天
发表于 2009-11-10 15:21:02 | 显示全部楼层

这种明显是茶社贴...

已经预设好观点了...
caixx
发表于 2009-11-10 15:23:31 | 显示全部楼层
如果有打开原帖,查看相关内容,就会知道360的也测了。
KK院长
 楼主| 发表于 2009-11-10 15:49:10 | 显示全部楼层

回复 4楼 zzirong 的帖子

其实360的也测了,我只是个转贴的,我不是本文的作者。360的我补一下,

http://xiaridefeng.blogbus.com/logs/43559052.html
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 02:39 , Processed in 0.132536 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表