如果这个区多些这样的技术贴就好。

显示全部楼层 · 发表于 2010-12-13 13:59:23

本帖最后由 dragoonwing 于 2010-12-13 16:30 编辑

第一个原帖：http://bbs.kafan.cn/thread-863649-1-1.html
大致内容：一个文件websafe.dll，virscan  74%报毒，360无论本地还是云都不报；
结果：MJ披着H的MJ在帖子中大骂了lz一顿，认定这个文件是一个白文件，virscan上都是误报。为这个有人还专门在本区开了一个帖子引用MJ的话：http://bbs.kafan.cn/thread-863969-1-1.html，又是一顿好吵。

后续1：http://bbs.kafan.cn/forum-viewth ... ra.html#pid16502460
大致内容： jefffire童鞋本着孜孜不倦的精神对这个websafe.dll文件进行追踪测试。修改该文件MD5码后上传360云报毒。
于是jefffire认为360的云逻辑有点问题，可能缺少回馈扫描机制，导致这个本来是病毒的文件被漏掉。
结果：经过一番讨论&争论，jefffire再次上传源文件给红伞分析，红伞认定是一个误报，似乎有了一个初步结论。但是这个文件为什么被74%的杀软报毒，而360为什么又要入白名单库还没有明确结果。

后续2：http://bbs.kafan.cn/thread-865280-1-1.html
大致内容： jefffire童鞋继续孜孜不倦的追踪这个事件，找到了报毒的原因：
该websafe.dll是从bt玩家乐园  的“开始游戏.exe”文件中释放的,并非超级兔子的websafe.dll。与该dll配套的驱动文件websafe.sys具有劫持浏览器的恶意行为。
但是经过该贴14楼某牛的回应，这个websafe.dll文件为：
这个文件最初来自“网维无忧精灵”
但是，最近有木马利用这个文件来安装驱动websafe.sys。案例是：“BT玩家乐园”绿色安装版游戏后会中招。
查了一下，websafe.sys加载会被360hips拦截。
现在这类利用白文件做坏事的木马很多，比如，很著名的金锁木马（利用金山网盾锁首页的功能）、小哨兵（利用小哨兵在网吧环境中改首页的功能）、theworld旧版（配置文件中可修改首页）。如果把白文件加黑，哪怕是把md5加黑，也会影响用户使用正常软件，会严重打扰普通用户。

结果：这个事情到现在大致有了一个初步结论，websafe.dll本身是一个正常程序中的白文件，但是在某个木马中被利用加载websafe.sys这个驱动用来劫持浏览器。
因此，360不杀websafe.dll只杀websafe.sys是正确的，而74%的杀软抱websafe.dll似乎也没错，可能因为样本特征代码就定位在websafe.dll上了。

大结局：经过姐夫不断的深挖，这个扑朔迷离的事件终于迎来了最后的结局
http://bbs.kafan.cn/thread-865487-1-1.html
对于websafe.dll  （MD5：46bd6340f4e8ae22ccb23010a1e16507）现确定，确实是出自于网维无忧精灵软件中的dll，但由于作者编写不严谨，未对装载的驱动进行校验，故而被人利用了。

如果和原帖回帖的人一样，回帖内容都是“360是个垃圾，其他杀软都报你不报”“lz来搞笑的吧”“宇宙第一杀毒就是不一样，秒杀其他所有杀软”等等等等。
如果不是 jefffire本着认真求解的精神不断深挖，这个事件大约就会止步在第一个原帖里面，不过是成为双方互相谩骂的又一个口水而已。

感谢 jefffire和一些认真讨论这个事件的童鞋，卡饭现在这样的技术贴已经是屈指可数了。
现在卡发除了HIPS区还有浏览器区估计还有点认真的技术贴，其他区要么是互相吵架的口水，要么是“xxx和xxx杀软那个一个好？”这样的简单询问帖。
由衷的希望卡饭能有更多的技术贴，恢复一个技术论坛的本质。

显示全部楼层 · 发表于 2010-12-13 14:02:38

这个区本来就不是技术区，要啥子技术贴嘛！

显示全部楼层 · 发表于 2010-12-13 14:02:52

本帖最后由 byxxdrls 于 2010-12-13 14:05 编辑

jefffire童鞋确实技术好、人品好。我等，包括楼主都应该向他学习。

显示全部楼层 · 发表于 2010-12-13 16:04:37

jefffire童鞋确实技术好、人品好。我等，包括楼主都应该向他学习。

显示全部楼层 · 发表于 2010-12-13 16:18:18

姐夫是个好同学。回某楼，某些人在这个区口水也就算了，还在专区发表高论就不适意了

显示全部楼层 · 发表于 2010-12-13 16:26:32

本帖最后由 byxxdrls 于 2010-12-13 16:28 编辑

楼上大牛不是说我吧？我确实在此区口水得厉害，但似乎没在什么专区发表高论吧。此前是到360区去过一回, 是以小白的身份进去的，纯粹为支持下HMILY。

显示全部楼层 · 发表于 2010-12-13 16:27:35

这区是口水区啊

显示全部楼层 · 发表于 2010-12-13 16:28:06

从分析websafe.dll文件看，本身并未发现什么恶意行为。只是关联文件出现问题，所以报与不报是个有争议的问题。

显示全部楼层 · 发表于 2010-12-13 16:28:42

回复 1楼 dragoonwing 的帖子

强烈的支持！
话说虽然以前360的几位技术大牛都在的时候，没少引起争论，但是至少还有很多技术帖子的贡献。现在看看360区，这样的技术帖子越来越少了，偶尔有针对一个问题引起的讨论都会让我们这些诚心希望从帖子中学到点知识的人欣喜若狂。
真的希望卡饭论坛像以前一样，是个多技术，少口水的地方。
另外不得不对楼主说，这个区开了那么久，你可以看看每天发帖讨论的内容，很难达到楼主希望的那种情况。
我现在只希望其他专区，特别是国内区讨论技术的帖子能更多一些就好……

显示全部楼层 · 发表于 2010-12-13 16:29:14

这事有结局了，姐夫童鞋找到了结论

http://bbs.kafan.cn/thread-865487-1-1.html

对于websafe.dll 确实是出自于网维无忧精灵软件中的dll，但由于作者编写不严谨，未对装载的驱动进行校验，故而被人利用了。

[其他] 如果这个区多些这样的技术贴就好。