从360与病毒的实战中看360主防的漏洞和缺陷以及360相对的优势

leisong

1F：360主防的漏洞、缺陷及未完善的功能
2F:  360有优势的地方
3F: 一点无聊的期望


相关测试贴：http://bbs.kafan.cn/viewthread.php?tid=707813&;page=1&authorid=456832(以下所说的该测试贴楼层为“只看该作者”的楼层）
1、绕过或强穿驱动/服务/启动项拦截
    见1F 1号样本，成功注册自启动的服务项；41号（49F）通过360自身的扫描发现，木马通过计划任务实现自启动，360不拦截这个么？37号（42F）木马群遗漏的样本同样击穿了360的启动项拦截（360扫描显示为组策略自动项，何为组策略启动项？？）。
   48号（57F 59F重测结果一样），与木马群的搏斗中被击穿了启动项（又是组策略启动项）和驱动拦截。
    主防有缺陷，可以说是才开发的，可是驱动/服务/启动项拦截项是做了很久的，原来果然是山外有山，人外有人，360牛人可以发现别家软件的漏洞，别人也一样可以发现绕过/击穿360的漏洞，这样便不难理解360在和木马群的搏斗中总是壮烈牺牲了

2、缺少微点那样强悍的对木马父进程及衍生物的追杀能力，在和木马群的搏斗中，我们看到360对爆发的木马群逐个弹框拦截, 你到底是手动HIPS还是智能主防????????，这时360的弹框就像手动HIPS一样一个接着一个，有时一下跳出几个，耐心点完十几下二十几下鼠标后发现，总是有遗漏的样本没有拦截，拦截完360自己都能扫描出自启动的木马甚至病毒驱动
以360拦截失败的43号（51F） 48号（57F 59F)，如图的弹框表示危险动作已触发360云库查询，本已准确的判断出木马本体，如果像微点一样自动追杀衍生物或下载物，何至于一大堆弹框点到手软后仍然漏掉病毒，连驱动都加载成功了。而360却是像手动HIPS一样对木马子进程逐个拦截判断，拦截能力又偏偏没有手动HIPS强悍，拦截方式却一样？？只是有少量的自动处理而已。


试想一个木马群包括木马下载器的父子进程关系十分清晰，只要判定其中一个是木马，自动追杀其余基本不会误杀。

如18号样本直接卡死电脑，测了2次都无法截图，第二次360托盘消失，直接被干掉了，只看到10多个木马进程不断跳动并联网下载更多的木马，系统假死一样无法完成截图操作。
又如25号样本（25 26F）
又如37号，（41 42 43F)，拦截了一堆过后，却剩余个别木马击穿了360的驱动和启动项拦截
又如43好（51F)
又如48号（57F 59F重测结果一样），与木马群的搏斗中被击穿了启动项（又是组策略启动项）和驱动拦截。

看下微点，遗漏名单中没有18号、25号 37 43  48号, 往往木马动作越剧烈，越容易触发主防，而微点的追杀机制确保只要是同一个病毒释放或下载的木马群只要有一个触发主防，就能将木马群包括病毒本体一网打尽。本来360在云服务器上是有优势的，可惜它不愿转变观念。



3、各部分之间缺少应有的协作，见16F 17F ，24F，49号（61F） 29F 的31号样本截图最清晰， 流量监测发现发现有一个木马程序，高危/木马联网居然不触发主防报警，要知道如今木马当道，对联网进程的拦截和报警比系统感染更加重要，而360的定位正是杀木马
白羊解释说防火墙没跟上，这和防火墙没有关系，首先主防的ND功能和防火墙是2码事，其次，发现高危甚至木马进程联网，完全可以弹框拦截阻止木马的进一步破坏，是360完全有能力做而没做
如果这个拦截住了，主防就可以多挡住多少的木马，就拦截率来说和微点已经差不多了，但实际拦截能力还是有差距。



4、对后台调用IE联网缺少拦截能力，46号（54F），而微点拦截住了46号

5、缺少断网保护、本地规则及权限分组。从现有的智能型HIPS来看，权限分组是解决HIPS安全和易用平衡点的有效方式，同样也能解决目前360不敢解决的防泄漏问题。


PS:  360遗漏或被穿样本：1  2  14  15  18  23  24  25  31  37  40  41  43  46  48 49  50

再看下2010.05.22微点主防剩余样本：9 15  19   21  22   26  27  31  33  34  35  36  40  50

leisong

再看下360有优势的地方
1、我们再比较下微点遗漏而360拦截的样本，9  19  21  22（23F贴图） 26   27  （33 34 35 36  45  47 六个没见任何动作退出，略过）
这几个样本都是以如下图的拦截方式成功拦截，这是危险动作触发云库查询，且自动阻止危险操作，只有这时360才体现了一定的智能性，注意出现第一个弹框的时候，即使不点确定，查看主防日志，360也已经自动阻止了危险操作，这一点从日志时间上也可以看出来。




这是比微点及其它主防优秀的地方，主要是服务器优势，前提是别被断网。

2、扫描优势，从这50个样本来看，对360漏过或被穿的启动项及内核项目，360的扫描基本都能扫出来，且都用颜色表明危险项。360有着很深的ARK基础，这一点毋庸置疑，且扫描结果比其它ARK工具分类更细，更清晰。
从测试结果来看似乎360最容易漏过的启动项是组策略启动项和计划任务，什么是组策略启动项？？？？？其实360有该启动项的拦截弹框，但为什么能扫描而拦截不全？可能是360能找出别家的漏洞，而天外有天，自有高手能找出360的拦截漏洞。

leisong

一点无聊的极难实现的期望：
倘若360能将1F的漏洞和缺陷补了，包括权限分组，未知的暂无法判断的进程自动降权运行（类似卡巴），将构造出一个全方位的立体防御，这才是真正的前摄性防御，才是真正的主防。而目前的360似乎还是小修小补，新版加强了什么修复能力，还什么超强修复，当然不是说不该加强修复能力，而是应该搞清楚一个智能主防应该是怎样的架构，先将自身的架构和定位搞清楚，始终是跟着病毒小修小补，能成大器么？


360主防只需略微转变一下它的防御与查杀方式，超越微点只是举手之劳，360具备别的主防没有的优势，360主防的劣势仅仅是因为没有认真去做。

我们在回顾下DW对漏洞的修复速度， 在上次MJ为DW找到了几个漏洞，每次一个漏洞传过去，第二天我们就得到DW的修复版了，其实由于时差关系，当天就修复了，这个事情MJ自己清楚，那么对于360本身的漏洞呢？何时修复？？藏着掖着，避而不谈？？？？？

当然，倘若360说，我们已经成功的取得市场了，你以及大家都是360不必放在眼里的极小众，那我也无话可说了。

jm3800072

分析得好认真

j919766

你也是牛人  支持你的测试

easybeing

嗯，360还是有用的

巫谢

期待360的主防真正强大起来

DoctorL

是否是智能，不在于弹框的多少，或者说交互的多少，而是交互界面所提供的信息是专业术语还是更加直白的语言~当然，LZ所说的也并无道理

PS：LZ测试用的360版本号是多少？

万恶之灵

LZ牛逼啊~~~膜拜一个~~~~~~~

leisong

回复 8# DoctorL

最新7.1正式版

我的意思是查杀上更加智能的判断木马群之间的从属关系，如果学习微点自动追杀衍生物及父进程，何至于反复弹那么多框还没没微点一个弹框拦的漂亮。

那种已确定了木马本体的情况下，对衍生物还需要逐个判断逐个弹框拦截么？这已经不是交互界面的文字说明是否直白的问题了，而是智能主防最基本的判断能力，因为下面的都是没必要的交互，直接在衍生物运行前就可以追杀掉，何至于等着被木马群干掉？？？
这是微点在几年前就做到的技术，对360来说轻而易举的事
否则谈何智能？