对某过360、红伞、卡巴 “白”文件的再讨论

显示全部楼层 · 发表于 2010-12-13 12:30:24

可能是个黑样本…

显示全部楼层 · 发表于 2010-12-13 12:48:22

jefffire 发表于 2010-12-13 12:12
刚刚下了那个包，那个dll在哪个文件里啊？

这几个升级包更新了。这个文件在4月份的包中有，不过，我可以找到那个安装包。稍后给你。呵呵。有这样的求真精神，佩服。

显示全部楼层 · 发表于 2010-12-13 13:00:41

我总算明白一点了，是不是这个dll可以加载正常的sys，也可以加载伪装的sys。

显示全部楼层 · 发表于 2010-12-13 13:01:56

junyangxie 发表于 2010-12-13 12:48
这几个升级包更新了。这个文件在4月份的包中有，不过，我可以找到那个安装包。稍后给你。呵呵。有这样的求 ...

呵呵~~~我也是随便研究研究

显示全部楼层 · 发表于 2010-12-13 13:22:08

如果真如junyangxie说的这个文件是一个白文件被利用，那么lz在上个帖子中的疑问就可以得到解答。
websafe.dll已经进入了360白文件库，lz改动了这个文件的MD5码所以360认为是非法修改正常文件，于是报毒。

显示全部楼层 · 发表于 2010-12-13 13:44:51

jefffire 发表于 2010-12-13 13:01
呵呵~~~我也是随便研究研究

我找到安装包了，互加一下QQ吧。安装包有100M，升级包38M。

显示全部楼层 · 发表于 2010-12-13 14:25:15

钦佩楼主精益求精的精神!

显示全部楼层 · 发表于 2010-12-13 14:49:11

这个比较认真的看过，让我一下想到“教唆犯罪”以及“当枪使”等词！
如果需要2者相互认识（认主--哈哈神器！）才能运行是否解决了？当然“开放性”（工具）无疑就大受影响了

显示全部楼层 · 发表于 2010-12-13 15:30:02

很欣赏楼主这种执着的探索精神

显示全部楼层 · 发表于 2010-12-13 15:34:16

回复 1楼 jefffire 的帖子

单纯分析websafe.dll ，的确是找不到恶意行为的。如果是单独对待，那么加白并没有什么问题。
毕竟是关联的文件有问题，而不是自身。
总的来说，如何对待这个文件还是不好做准确的对待。

[讨论] 对某过360、红伞、卡巴 “白”文件的再讨论