对某过360、红伞、卡巴 “白”文件的再讨论

keyoushi

回复 50楼 jefffire 的帖子

这个其实老掉牙，当年很多人就用广外的几行代码干了很多不光彩的事情。
话说此技术在有限出口的内部网络环境里依然具有很大的破坏力。嗯，亲身体验。

jefffire

keyoushi 发表于 2010-12-14 11:51
回复 50楼 jefffire 的帖子

这个其实老掉牙，当年很多人就用广外的几行代码干了很多不光彩的事情。

对付nod，微点，这种启发比较强的，还有360QVM，这招就不好使啦。

keyoushi

回复 52楼 jefffire 的帖子

对的，但是如果被人用来对付企业服务器端的铁壳/趋势等，就有可能发生很严重的事情。MS跨国公司都只用这几家的产品。话说就因为某件事情偶没能保住偶们的数据经理，他是偶的学弟.........尽管责任不全在他

jefffire

keyoushi 发表于 2010-12-14 12:07
回复 52楼 jefffire 的帖子

对的，但是如果被人用来对付企业服务器端的铁壳/趋势等，就有可能发生很严重的 ...

哎~~~一般企业部署的客户端反病毒查杀能力都是弱的，因为怕误杀，所以都用最保险的简单或复合特征码。但是企业是可以利用别的手段来防御的，比如配置客户端软件执行规则，限制U盘使用等等，规则搞得好，也是很厉害的。

keyoushi

回复 54楼 jefffire 的帖子

其实权限是分配的很死的，但数据经理是有特权的~偏偏他把自己本本上的铁壳卸了，装了360，偏偏有人用他的本本和他的权限在本地服务器上放了点小文件，然后是中国区在天津的服务器上的资料，然后是亚太区在泰国服务器上的资料，再然后.........算了不说了容易口水。
其实技术没有明确的新旧高低之分，就看实用技术的人基于什么目的。

jefffire

keyoushi 发表于 2010-12-14 12:20
回复 54楼 jefffire 的帖子

其实权限是分配的很死的，但数据经理是有特权的~偏偏他把自己本本上的铁 ...

我汗~~~他这种职位就装一个360，太大意了。就算只装个360，至少也要组策略限制一下啊。这个有心人肯定是早有预谋了~~~你学弟悲剧。

keyoushi

回复 56楼 jefffire 的帖子

据查此人离职后赋闲了一段时间，而后去了竞争对手那里，据说见面礼相当丰厚，这个从今年底竞争对手连续出现的非常具有针对性的进攻策略里可以略见一二，客户和管理层流失很严重。
学弟~可能刚刚毕业的大学生阅历不够，论技术还是很棒的，偶还给老板推荐他去参加MTP的晋升培训...........希望他以后能记住教训。

jefffire

keyoushi 发表于 2010-12-14 12:38
回复 56楼 jefffire 的帖子

据查此人离职后赋闲了一段时间，而后去了竞争对手那里，据说见面礼相当丰厚，这 ...

商业间谍~~~~~~难道不能付诸法律？

keyoushi

回复 58楼 jefffire 的帖子

能让你诉诸法律他就不会这么干了~而且这种官司打起来旷日持久，对公司的信誉损害也很大。
后来分析可能就是先修改了某个正常的文件代码，特征码指向Lotus notes user ID,这个id在服务器端是不会被拦截的，然后又利用notes服务器的漏洞提升了该ID的接收权限，或者是取得了其它用户ID的使用或管理权限，从而获得大量文件。因为一旦有人离职，那么他的用户名在公司的一切权限会被回收，notes id和所有文件也会被删除，无从查证了。

jefffire

keyoushi 发表于 2010-12-14 13:04
回复 58楼 jefffire 的帖子

能让你诉诸法律他就不会这么干了~而且这种官司打起来旷日持久，对公司的信誉损 ...

“后来分析可能就是先修改了某个正常的文件代码，特征码指向Lotus notes user ID”
不太明白。我个人理解是，改了正常文件，增加了间谍代码，获取了ID的登录口令。或者就是直接通过该电脑，登录了服务器，释放了木马文件