毒眼活動參賽帖关于毒眼的测试

显示全部楼层 · 发表于 2009-11-27 19:57:45

本帖最后由 taoyuan237 于 2009-12-7 12:46 编辑

看到英仔同学努力申请的奖品我有点动心，虽然我用不上

今天我来测试下毒眼
首先安装日记
MD开启学习模式

2009-11-27 19:53:07 创建新进程允许
进程: c:\downloads\escout.exe
目标: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
命令行: C:\DOCUME~1\TAOYUA~1\LOCALS~1\Temp\escout.exe
规则: [应用程序]* -> [子应用程序]*\temp*\*
2009-11-27 19:53:15 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\WINDOWS\system32\Drivers\Est04003.esc
规则: [文件组]全局阻止建改删 -> [文件]c:\windows\system32\*
2009-11-27 19:53:15 底层磁盘操作允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*
2009-11-27 19:53:17 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02000.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:17 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02002.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:17 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02001.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:17 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02003.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:17 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02006.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:17 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02007.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:17 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02004.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:17 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02005.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:17 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02012.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:18 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02013.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:18 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02014.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:18 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02016.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:18 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02017.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:18 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\WINDOWS\system32\drivers\Est01000.sys
规则: [文件组]阻止 -> [文件]c:\*; *.sys
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\WINDOWS\system32\drivers\Est01002.sys
规则: [文件组]阻止 -> [文件]c:\*; *.sys
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\WINDOWS\system32\drivers\Est01003.sys
规则: [文件组]阻止 -> [文件]c:\*; *.sys
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\WINDOWS\system32\drivers\Est01004.sys
规则: [文件组]阻止 -> [文件]c:\*; *.sys
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03000.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03001.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03002.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03003.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03004.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03019.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03005.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03006.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03007.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03008.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03009.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:19 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03010.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:20 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03011.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:20 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03012.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:20 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03013.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:20 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03014.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:20 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03015.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:20 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03016.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:20 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03017.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:20 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03018.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:20 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02008.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:20 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02009.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:20 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02010.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:20 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est02011.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe
2009-11-27 19:53:21 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03020.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:21 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Est03021.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:21 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\EstHelp.chm
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:21 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\WINDOWS\system32\Est2015.exe
规则: [应用程序]* -> [文件]c:\windows\*; *.exe
2009-11-27 19:53:21 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\collist.js
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:22 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\columnlist.css
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:22 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\columnlist.js
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:22 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\escollist.css
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:22 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\esscrollbar.js
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:22 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\Handle.js
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:22 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\httpRequest.js
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:23 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\iwclctl.css
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:23 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\mycollist.css
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:23 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\sortabletable.js
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:23 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\style.css
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:23 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa00\Est04008.esc
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:24 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\esa_01\Est04009.esc
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:24 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa03\Est04002.esc
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:24 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa01\Est04012.esc
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:24 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\Program Files\E-Scout\Esa03\Est04010.esc
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-11-27 19:53:24 创建文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\WINDOWS\system32\drivers\Est01001.sys
规则: [文件组]阻止 -> [文件]c:\*; *.sys
2009-11-27 19:53:24 创建注册表项允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\E-Scout
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\*
2009-11-27 19:53:24 修改注册表值允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{EBDF1F20-C829-11D1-8233-0020AF3E97A9}
值: E-Scout Shell Extension
规则: [注册表组]系统相关设置 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved*
2009-11-27 19:53:25 安装驱动程序或服务允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: eel0
文件路径: C:\WINDOWS\system32\drivers\Est01000.sys
规则: [应用程序]*
2009-11-27 19:53:25 创建注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eel0
规则: [注册表组]自动运行 -> [注册表]HKEY_LOCAL_MACHINE\system\currentcontrolset\services*
2009-11-27 19:54:12 删除文件允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: C:\WINDOWS\system32\drivers\testing
规则: [文件组]全局阻止建改删 -> [文件]c:\windows\system32\*
2009-11-27 19:54:19 删除文件允许
进程: c:\program files\e-scout\est02003.exe
目标: C:\WINDOWS\system32\drivers\testing
规则: [文件组]全局阻止建改删 -> [文件]c:\windows\system32\*
2009-11-27 19:54:20 修改文件允许
进程: c:\program files\e-scout\est02001.exe
目标: C:\WINDOWS\system32\drivers\Est04003.esc
规则: [文件组]全局阻止建改删 -> [文件]c:\windows\system32\*
2009-11-27 19:54:20 底层磁盘操作允许
进程: c:\program files\e-scout\est02001.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*
2009-11-27 19:54:20 结束其他进程允许
进程: c:\documents and settings\taoyuan237\local settings\temp\escout.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*
2009-11-27 19:54:22 创建新进程允许
进程: c:\windows\system32\winlogon.exe
目标: c:\windows\explorer.exe
命令行: C:\WINDOWS\explorer.exe
规则: [应用程序]* -> [子应用程序]c:\windows\explorer.exe

最后一步比较讨厌结束explorer.exe之前也不给点提示，人家正在找文件咋办？

重启之后重新安装，疑人不用用人不疑，为了避免冲突，第二次安装前我吧MD废了

我很残忍哈。。。。
完事以后我们看下毒眼的HOOK
SSDT HOOK

FSD HOOK

他覆盖了我SD的HOOK

资源占用测试省略
自保测试同上因为没有自保[:15:]

今天先从文件保险柜测试开始

首先看设置

其实我一直看不懂这个是什么意思？
允许访问？只允许访问？描述模糊不清
如果我不想让任何程序在任何时间访问咋办？

好了下面开始正式测试
我设定为仅仅允许记事本读取H:\boot下的文件
H盘是WIN7的安装程序

换句话说，禁止任何程序删除H:\boot下的文件

用资源管理器检测
规则已生效

下面开始我的暴力删除

展示下我忠诚的工具，我坚信他们会毫不犹豫的帮我完成使命

测试工具1 killbox
无法删除

某山寨删除工具
失败见图八

趋势的删除工具
提示成功见图9
实际删除成功
突破毒眼的保护

一个调用CMD删除的删除工具
无法删除而且被毒眼报警。。
见图10

超级巡警的删除工具
删除失败见图11

火流星
抹除文件显示成功
刷新后看不到了但资源管理器中照样可以看到

EASYDELETE
我最喜欢的删除工具之一
显示删除成功，可是转眼一看，文件还在。。。

最后上场的是ARK
Wsyscheck
不恢复钩子的情况下直接删除文件无效。。

由此得出结论毒眼的文件保护还是比较靠谱的
我这些工具里其实很多属于R0级别的软件
比如EASYDELETE，能保证不被干掉真的不容易。

样本测试
1某受害者那里来的VBS

表面处理了实际上，一打开资源管理器露馅了

注册表没有处理只删除文件。。。
这个属于致命伤了

下面都是卡饭平日扫描测试的包里的文件我随便选了几个
样本
091125-1-1.exe       结果拦截
091125-1-10.exe       拦截后出现

091125-1-11.exe       未拦截
091125-1-12.EXE       拦截
091126-1-5.exe          拦截
091125-2-7.exe          拦截后出现

系统我倒是没发现什么文件被替换。。
091126-1-7.exe          崩溃了

091126-1-13.EXE          拦截
091126-2-3.exe             拦截
091126-2-4.exe          拦截部分
但生成d:\cconter.exe未拦截而且成功运行
091126-A-6.exe             未拦截
091126-B-3.exe             拦截
091127-C-4.exe             拦截
091127-C-9.exe             拦截但是删除失败，但对文件做了禁止访问的操作

PS在我这测试多次崩溃
另外有被废掉的情况发生，

[ 本帖最后由 taoyuan237 于 2009-11-28 12:49 编辑 ]

显示全部楼层 · 发表于 2009-11-28 12:49:17

附上理想中的原理示意图

另外系统文件替换等问题仍然严重
毒眼还有很长的路要走

显示全部楼层 · 发表于 2009-11-28 12:49:58

附上样本专用楼层

本层用来放置测试中无法完整拦截的样本
PS全部是断网测试的
部分样本会废了毒眼

[ 本帖最后由 taoyuan237 于 2009-11-28 12:51 编辑 ]

显示全部楼层 · 发表于 2009-11-28 12:51:22

沙发一个慢慢看

显示全部楼层 · 发表于 2009-11-28 12:54:21

占楼……

显示全部楼层 · 发表于 2009-11-28 13:24:18

支持神猪~

虽然我看不大懂……

显示全部楼层 · 发表于 2009-11-28 13:28:20

原帖由 taoyuan237 于 2009-11-28 12:49 发表

部分样本会废了毒眼

有点可怕

显示全部楼层 · 发表于 2009-11-28 13:29:24

因为关键的SSDT HOOK被废了
所以基本上监控都失效了

显示全部楼层 · 发表于 2009-11-28 13:34:23

感觉果然和微点类似。

显示全部楼层 · 发表于 2009-11-28 13:35:41

慢慢看。。。。。

[技术原创] 毒眼活動參賽帖关于毒眼的测试

本帖子中包含更多资源

评分

本帖子中包含更多资源

回复 7楼仙来逛逛的帖子

[技术原创] 毒眼活動參賽帖关于毒眼的测试

本帖子中包含更多资源

评分

本帖子中包含更多资源

回复 7楼 仙来逛逛 的帖子

回复 7楼仙来逛逛的帖子