楼主: Lgwu
收起左侧

[技术原创] 再论Unicode控制符反转伪装后缀名漏洞

  [复制链接]
Lgwu
头像被屏蔽
 楼主| 发表于 2010-10-30 16:55:09 | 显示全部楼层
回复 39楼 gxczlzz 的帖子

下载完毕,多谢!
Lgwu
头像被屏蔽
 楼主| 发表于 2010-10-30 16:55:30 | 显示全部楼层
回复 40楼 liangfangCN 的帖子

卡饭扫描区,28号的病毒包
KCloud
发表于 2010-10-30 17:01:17 | 显示全部楼层
回复 1楼 Lgwu 的帖子

对一个特征码杀软进行免杀,就算没有什么控制符翻转漏洞,也照样过,你要再狠点,加个T壳,谁也没法报本体。又何必要冠上后缀漏洞呢?
Lgwu
头像被屏蔽
 楼主| 发表于 2010-10-30 17:27:38 | 显示全部楼层
本帖最后由 Lgwu 于 2010-10-30 17:28 编辑
KCloud 发表于 2010-10-30 17:01
回复 1楼 Lgwu 的帖子

对一个特征码杀软进行免杀,就算没有什么控制符翻转漏洞,也照样过,你要再狠点,加 ...


我的原帖只是让朋友们注意一下打开文件时要多留意下,毕竟因为Unicode控制符反转伪装后缀名而帮病毒木马多一种激活方式。既然你上升到安软查杀问题,并且测试环境和实际环境存在很大偏颇。就没理由不让别人修正下。
如果是你真相帝,你要恶意利用Unicode控制符反转伪装后缀名,发给别人的文件会不去考虑杀软是否查杀?
KCloud
发表于 2010-10-30 17:27:38 | 显示全部楼层
本帖最后由 KCloud 于 2010-10-30 17:28 编辑

回复 4楼 jefffire 的帖子

这篇文章其实是偷换了概念,与“Unicode控制符反转伪装后缀名漏洞 ”没有半点关系

很明显,假如我们真的要讨论这个漏洞是否有攻击意义,那么我们的立意和论断应该是基于如下方面的:
1、源文件杀软可杀
2、源文件被Unicode控制符反转伪装后缀名漏洞所修改
3、检测源文件是否还可被杀,以此来检验Unicode控制符反转伪装后缀名漏洞 是否有效

而很明显,楼主的测试先是把一个杀软进行了与Unicode控制符反转伪装后缀名漏洞没有任何关联的免杀操作,该免杀操作完全不是基于Unicode控制符反转伪装后缀名漏洞实现的,也就是说,即使世界上根本不存在什么Unicode控制符反转伪装后缀名漏洞,特征码杀软也照样会被免杀,这样一来,这篇文章压根就没有讨论Unicode控制符反转伪装后缀名漏洞,而是免杀技术,与Unicode控制符反转伪装后缀名漏洞没有半点关系,也不能论证任何与Unicode控制符反转伪装后缀名漏洞有关的问题

“控制变量”是实验中非常重要的一个环节,控制变量的选取直接关系到实验结果的正确与否。例如我们要讨论不同纯度汽油对汽车发动机的磨损,控制变量应该是汽油纯度,结果实验者把汽油换成了柴油,或者把汽车发动机换成了摩托车发动机,再去论证纯度的影响,就等于是贻笑大方了
KCloud
发表于 2010-10-30 17:29:42 | 显示全部楼层
回复 45楼 Lgwu 的帖子

假如我要发给别人恶意文件,我既然免杀了对方杀软,还有什么必要去考虑杀软是否能查杀?我根本不需要翻转后缀,对方的杀软也不会报警
Lgwu
头像被屏蔽
 楼主| 发表于 2010-10-30 17:33:05 | 显示全部楼层
KCloud 发表于 2010-10-30 17:27
回复 4楼 jefffire 的帖子

这篇文章其实是偷换了概念,与“Unicode控制符反转伪装后缀名漏洞 ”没有半点 ...

利用是不是有意义,感觉你应该回金山区问问 7齐天大圣7。刚刚他转发了金山公告,截获多少多少木马,不就是利用这个漏洞么?
Lgwu
头像被屏蔽
 楼主| 发表于 2010-10-30 17:34:45 | 显示全部楼层
KCloud 发表于 2010-10-30 17:29
回复 45楼 Lgwu 的帖子

假如我要发给别人恶意文件,我既然免杀了对方杀软,还有什么必要去考虑杀软是否能查 ...

越来越搞笑了。对不熟悉的人发来的可执行文件,你会轻易运行?
KCloud
发表于 2010-10-30 17:37:33 | 显示全部楼层
回复 47楼 Lgwu 的帖子

首先我对你的测试表示感谢,因为毕竟是对比测试,你的也是真实的

其次我要说的是:我论断的并不是金本山和360谁好的问题,我论证的基点是:“Unicode控制符反转伪装后缀名漏洞本身并不构成威胁”,而我的论证也并无错误。天底下的木马都不是靠Unicode控制符反转伪装后缀名漏洞来侵入用户电脑的,它真正侵入主要还是靠免杀。而免杀并不是什么神奇新技术,再次就不再赘述了。我要说的是,即使有一个木马,他原来能被杀软截获,那么利用了Unicode控制符反转伪装后缀名漏洞之后,它仍然能被杀软截获。你说对不对?Unicode控制符反转伪装后缀名漏洞本身是过不了杀软的,而经过免杀以后,无需Unicode控制符反转伪装后缀名漏洞也能过杀软。

至于哪家公司截获了多少利用此漏洞的木马,我觉得没有意义,因为这些木马厉害之处不是用了这个漏洞,本质还是用了免杀
liangfangCN
发表于 2010-10-30 17:40:58 | 显示全部楼层
简单的说 能免杀特征码了 用不用这个漏洞杀毒软件都不报
不能免杀特征码,就算用这个漏洞 一样也被杀
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 09:39 , Processed in 0.091330 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表