楼主: leisong
收起左侧

[讨论] 超牛的TDSS,打印注入的漏洞已经修复,完美拦截

  [复制链接]
jinzijie
发表于 2010-10-6 14:06:32 | 显示全部楼层
回复 30楼 leisong  的帖子


    你给的样本压根没注入打印机的动作啊,当然不会凭空拦截啊,只有一个注入华生医生的行为

    你看我图,我图那4个dll是VM的文件啊,正常文件。
XMonster
发表于 2010-10-6 14:06:46 | 显示全部楼层
回复 30楼 leisong  的帖子


    云响应了 qvm19
leisong
 楼主| 发表于 2010-10-6 14:12:55 | 显示全部楼层
回复 31楼 jinzijie  的帖子

20F图是什么?而且确实是在该文件夹下生成随机命名的DLL
且我运行样本后才有的那个DLL,哪来的?

   
jinzijie
发表于 2010-10-6 14:14:46 | 显示全部楼层
回复 33楼 leisong  的帖子

这回我RP好了,那块地方就是没衍生物生成怎么办呢
leisong
 楼主| 发表于 2010-10-6 14:22:17 | 显示全部楼层
回复 34楼 jinzijie  的帖子

你确定该文件夹下没有新DLL?
还有你用的哪个ARK工具?这个居然只有XUETR可以检测出来,WSYSCHECK POWERTOOL2.3 360的DLL检测全部歇菜
   
http://bbs.kafan.cn/thread-807404-1-1.html

或许是我另一个RP问题
jinzijie
发表于 2010-10-6 14:27:32 | 显示全部楼层
回复 35楼 leisong  的帖子
再测了一遍,动作还是一样,就拦截了一个华生医生注入,日志也是
不过这次有dll生成了,但是从xt 0.37版上看,还是没注入打印机


评分

参与人数 1人气 +1 收起 理由
leisong + 1 这回恭喜你的RP

查看全部评分

360sandbox
发表于 2010-10-6 14:56:42 | 显示全部楼层
回复

我覆盖安装升级到7.5.0.1002M最新测试版,没有这个弹框,成功注入了,测了2遍都注入了
leisong 发表于 2010.10.6 13:05

昨天问了下,这个更新没有放BETA中,在按比例升级,可能没升级到吧,节后开始调高比例。

leisong
 楼主| 发表于 2010-10-6 15:02:02 | 显示全部楼层
回复 37楼 360sandbox  的帖子

明白了,感谢解释。
还有个问题不解,如果被打印注入,是否存在这些ARK工具包括360检测不出的BUG

http://bbs.kafan.cn/thread-807404-1-1.html

   
360sandbox
发表于 2010-10-6 15:11:27 | 显示全部楼层
回复

明白了,感谢解释。
还有个问题不解,如果被打印注入,是否存在这些ARK工具包括360检测不出的BUG ...
leisong 发表于 2010.10.6 15:02


这个没有看过,不过系统本身、SYSCHECK是很容易被绕过的,DLL加载后做一个脱链的操作就可以让这些无法识别出来,你可以配合ICESWORD看看是否和XUETR的结果相同,如果相同就说明确实是如此。
360sandbox
发表于 2010-10-6 17:14:26 | 显示全部楼层
回复

明白了,感谢解释。
还有个问题不解,如果被打印注入,是否存在这些ARK工具包括360检测不出的BUG ...
leisong 发表于 2010.10.6 15:02


今天会发个BETA,把打印机这个规则放到里面
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 09:30 , Processed in 0.093568 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表