对某过360、红伞、卡巴 “白”文件的再讨论

显示全部楼层 · 发表于 2010-12-13 10:57:14

直接加白不太合适。但什么方式更好还真说不上来。
MJ说加白是因为前面他误认为了是兔子的文件所以加白了，但后来确定不是，应该会修正吧。

显示全部楼层 · 发表于 2010-12-13 10:57:17

chaezoy 发表于 2010-12-13 10:54
回复 7楼 jefffire 的帖子

但是仅从DLL本身分析应该是不会得知其要加载的驱动的具体内容的吧？

单独来看是不能分析出明显问题。但其他杀软报，有可能是收到了原exe，把特征码定位在这个dll上了。
这个dll本来就不是什么通用dll，私人写的，还有谁会用呢？

显示全部楼层 · 发表于 2010-12-13 10:58:23

误加白了

显示全部楼层 · 发表于 2010-12-13 11:02:23

这个文件最初来自“网维无忧精灵”
下载地址：http://www.pubgen.net/uploadfile/beta/2010正式版升级包.rar
但是，最近有木马利用这个文件来安装驱动websafe.sys。案例是：“BT玩家乐园”绿色安装版游戏后会中招。
查了一下，websafe.sys加载会被360hips拦截。

显示全部楼层 · 发表于 2010-12-13 11:02:23

bbs2811125 发表于 2010-12-13 10:48
水货不知道要说什么

额，水货

显示全部楼层 · 发表于 2010-12-13 11:03:34

本帖最后由 junyangxie 于 2010-12-13 11:24 编辑

seehere 发表于 2010-12-13 10:57
直接加白不太合适。但什么方式更好还真说不上来。
MJ说加白是因为前面他误认为了是兔子的文件所以加白了， ...

文件来自软件“网维无忧精灵”
下载地址：http://www.pubgen.net/uploadfile/beta/2010正式版升级包.rar

显示全部楼层 · 发表于 2010-12-13 11:05:17

junyangxie 发表于 2010-12-13 11:02
这个文件最初来自“网维无忧精灵”
下载地址：http://www.pubgen.net/uploadfile/beta/2010正式版升级包.r ...

原文件确实会杀~~加载驱动也会拦截

显示全部楼层 · 发表于 2010-12-13 11:06:17

jefffire 发表于 2010-12-13 11:05
原文件确实会杀~~加载驱动也会拦截

md5都是一样的。可以算一下。这是正常文件被利用了。呵呵

显示全部楼层 · 发表于 2010-12-13 11:09:48

总算看明白这个DLL干嘛的了，只是单这个文件入白入黑或者入灰问题都不大

PS:楼主这种认真探索事实真相的精神真是值得赞扬，在如今的卡饭已经快绝迹了，绝大多数人热衷于....................

显示全部楼层 · 发表于 2010-12-13 11:12:54

junyangxie 发表于 2010-12-13 11:06
md5都是一样的。可以算一下。这是正常文件被利用了。呵呵

这样啊~~我再看看

[讨论] 对某过360、红伞、卡巴 “白”文件的再讨论