【真相帝归来，重磅发帖】国产网盾下载保护技术探讨

蓝天白云520

真相帝一直在参加入职培训，比较忙，所以很长时间没有发过啥主贴，最多也就是灌灌水。今天看大家高兴，特来就最近风头正劲的国产网盾下载保护技术来一个探究。

请注意：由于论坛调整，此贴图片无法上传，均采用爱毒霸论坛的外链（别的外链可能无法正常显示）

环境：XP SP3，安装了360安全浏览器、IE8；网盾：360安全卫士7.5beta、金山网盾3.6.3。关闭360安全卫士木马防火墙，防止干扰（官人别冒出来说你家木马防火墙管得着网盾哈）。

随便在样本区找了一个样本：http://bbs.kafan.cn/thread-785531-1-1.html

一、使用360安全浏览器打开此网页，下载样本，非常好！360网盾报毒：


二、检测此样本文件MD5：


三、使用winhex修改空白特征段一个字节，改变其MD5：





为了验证其是否仍然能够运行，上传至comodo在线沙盘检测：http://camas.comodo.com/cgi-bin/submit?file=5d2b8f059a843525583ba19ec816a331cf2a423f2956c4c8f977d7c61ca2807c



  


四、将其重新压缩打包，上传至115网盘，地址：http://u.115.com/file/t1ded87e2a

再使用360安全浏览器下载（请注意，由于360安全浏览器可以自动重命名，所以vip2.rar在我桌面上有两个，被自动重命名为vip2(1).rar），神奇的事发生了：


360网盾下载保护立刻不认这个文件了！

直接上传裸文件：http://u.115.com/file/t19736dd54


  360网盾仍然不认识！

五、将原压缩包删除，将原程序重新打包为vip_3.rar（相当于不改变原文件MD5，但改变了其压缩包的MD5），上传至115网盘：http://u.115.com/file/t18cb18c64

使用360安全浏览器下载：





非常好，再次不认了。


验证表明：目前360网盾的下载保护仍然是基于MD5验证的，并且惊悚的是：其居然压根不具备解压压缩包的能力，入库方式竟然是直接将压缩包的MD5入库！  

当然，个人的测试可能并不科学和准确，再次测试金山网盾的下载保护：

一、原文件：


二、修改样本MD5文件：


三、修改压缩包MD5文件：



修改文件MD5对金山网盾的下载保护没有任何影响，证明金山网盾的下载保护确实具备解压缩包能力。

当然，我对于数字网盾能产生如此之快的进步感到非常高兴，数字网盾慢慢成长起来，逐渐能够保护用户的安全。但我对于数字粉狂热的追捧感到不适，甚至很多人看到网盾下载保护生效即开始叫嚣“远远超越了金山网盾”，这是大跃进时代放卫星的做法。任何事物都要经历成长的过程，短时间超英赶美是不现实的。我衷心祝福数字网盾能成长为像金山网盾那样独当一面的安全软件。

阳光西骑士

好久不见 果然真相帝~~~

阳光西骑士

会不会是数字直接下载卡饭样本区的压缩包直接入库……

BitDefender

占楼 慢慢看

镜湖

签名不错

数字的扫描一直是靠MD5过日子的,数字人的蹲点技术居功至尾.

leofly

呵呵，好久不见
坐等360喷

dannes456

看完了，也就是说“360网盾现在还是在用MD5检测的方式来辨别下载的文件是否含有病毒”
而金山网盾则是用微特征技术，改了MD5还是一样报
总之，就是，现阶段金山网盾的技术比360网盾还是高出一截

BitDefender

其居然压根不具备解压压缩包的能力，入库方式竟然是直接将压缩包的MD5入库！  

好了 这贴又能火了

wjstcmeteor

终于又见到真相帝了

1848114818

真相啊