再论Unicode控制符反转伪装后缀名漏洞

Lgwu

回复 39楼 gxczlzz 的帖子

下载完毕，多谢！

Lgwu

回复 40楼 liangfangCN 的帖子

卡饭扫描区，28号的病毒包

KCloud

回复 1楼 Lgwu 的帖子

对一个特征码杀软进行免杀，就算没有什么控制符翻转漏洞，也照样过，你要再狠点，加个T壳，谁也没法报本体。又何必要冠上后缀漏洞呢？

Lgwu

KCloud 发表于 2010-10-30 17:01
回复 1楼 Lgwu 的帖子

对一个特征码杀软进行免杀，就算没有什么控制符翻转漏洞，也照样过，你要再狠点，加 ...

我的原帖只是让朋友们注意一下打开文件时要多留意下，毕竟因为Unicode控制符反转伪装后缀名而帮病毒木马多一种激活方式。既然你上升到安软查杀问题，并且测试环境和实际环境存在很大偏颇。就没理由不让别人修正下。
如果是你真相帝，你要恶意利用Unicode控制符反转伪装后缀名，发给别人的文件会不去考虑杀软是否查杀？

KCloud

回复 4楼 jefffire 的帖子

这篇文章其实是偷换了概念，与“Unicode控制符反转伪装后缀名漏洞 ”没有半点关系

很明显，假如我们真的要讨论这个漏洞是否有攻击意义，那么我们的立意和论断应该是基于如下方面的：
1、源文件杀软可杀
2、源文件被Unicode控制符反转伪装后缀名漏洞所修改
3、检测源文件是否还可被杀，以此来检验Unicode控制符反转伪装后缀名漏洞 是否有效

而很明显，楼主的测试先是把一个杀软进行了与Unicode控制符反转伪装后缀名漏洞没有任何关联的免杀操作，该免杀操作完全不是基于Unicode控制符反转伪装后缀名漏洞实现的，也就是说，即使世界上根本不存在什么Unicode控制符反转伪装后缀名漏洞，特征码杀软也照样会被免杀，这样一来，这篇文章压根就没有讨论Unicode控制符反转伪装后缀名漏洞，而是免杀技术，与Unicode控制符反转伪装后缀名漏洞没有半点关系，也不能论证任何与Unicode控制符反转伪装后缀名漏洞有关的问题

“控制变量”是实验中非常重要的一个环节，控制变量的选取直接关系到实验结果的正确与否。例如我们要讨论不同纯度汽油对汽车发动机的磨损，控制变量应该是汽油纯度，结果实验者把汽油换成了柴油，或者把汽车发动机换成了摩托车发动机，再去论证纯度的影响，就等于是贻笑大方了

KCloud

回复 45楼 Lgwu 的帖子

假如我要发给别人恶意文件，我既然免杀了对方杀软，还有什么必要去考虑杀软是否能查杀？我根本不需要翻转后缀，对方的杀软也不会报警

Lgwu

KCloud 发表于 2010-10-30 17:27
回复 4楼 jefffire 的帖子

这篇文章其实是偷换了概念，与“Unicode控制符反转伪装后缀名漏洞 ”没有半点 ...

利用是不是有意义，感觉你应该回金山区问问 7齐天大圣7。刚刚他转发了金山公告，截获多少多少木马，不就是利用这个漏洞么？

Lgwu

KCloud 发表于 2010-10-30 17:29
回复 45楼 Lgwu 的帖子

假如我要发给别人恶意文件，我既然免杀了对方杀软，还有什么必要去考虑杀软是否能查 ...

越来越搞笑了。对不熟悉的人发来的可执行文件，你会轻易运行？

KCloud

回复 47楼 Lgwu 的帖子

首先我对你的测试表示感谢，因为毕竟是对比测试，你的也是真实的

其次我要说的是：我论断的并不是金本山和360谁好的问题，我论证的基点是：“Unicode控制符反转伪装后缀名漏洞本身并不构成威胁”，而我的论证也并无错误。天底下的木马都不是靠Unicode控制符反转伪装后缀名漏洞来侵入用户电脑的，它真正侵入主要还是靠免杀。而免杀并不是什么神奇新技术，再次就不再赘述了。我要说的是，即使有一个木马，他原来能被杀软截获，那么利用了Unicode控制符反转伪装后缀名漏洞之后，它仍然能被杀软截获。你说对不对？Unicode控制符反转伪装后缀名漏洞本身是过不了杀软的，而经过免杀以后，无需Unicode控制符反转伪装后缀名漏洞也能过杀软。

至于哪家公司截获了多少利用此漏洞的木马，我觉得没有意义，因为这些木马厉害之处不是用了这个漏洞，本质还是用了免杀

liangfangCN

简单的说 能免杀特征码了 用不用这个漏洞杀毒软件都不报
不能免杀特征码,就算用这个漏洞 一样也被杀