虚拟机实测：瑞星的行为防御引擎无法防御熊猫烧香病毒，以及瑞星行为防御原理的思考

显示全部楼层 · 发表于 2011-3-29 16:38:59

本帖最后由 fzq198776 于 2011-3-29 19:17 编辑

我将木马防火墙的级别和系统内核加固的级别都调到了最高（系统内核加固去掉对“创建子进程”的监控），关闭文件监控，然后运行了如下样本：

http://bbs.kafan.cn/thread-846811-1-1.html
小星星尽管系统内核加固有提示说“更改开机自启动项”和“更改EXE文件关联”，可是点击阻止后，全盘的EXE文件依旧变成了可爱的小熊猫。。。

但有意思的，给这些个样本用 ASPACK 加个壳，瑞星居然就报“未知木马”了，想想在瑞星2009的时代，那时我还在玩免杀，就已经注意到当时瑞星的“木马防御”其实依旧是一种特征码比对，只是通过“行为防御”的形式报出来而已，当时只需要把木马的某些特定的asic码修改后，即可突破瑞星所谓的木马防御。刚刚又在网上找了下关于免杀瑞星2011的资料，发现其突破方法和瑞星2009 很相似~~嘿嘿。。。所以我严重怀疑是瑞星针对此类样本有过 “带壳提取特征值”，于是样本加壳后，导致了某些被定义为了“特征值”的asic码又重新出现。。。
PS：另外附件里附上ASpack加壳工具，使用方法，打开后它会让你选择要加载的语言文件，点击那个唯一的INI文件之后软件即可打开，然后按照提示操作即可

显示全部楼层 · 发表于 2011-3-29 16:53:36

乃的NIS抗住了没？

显示全部楼层 · 发表于 2011-3-29 16:54:58

本帖最后由 fzq198776 于 2011-3-29 16:55 编辑

zhanjiangg 发表于 2011-3-29 16:53
乃的NIS抗住了没？

做了文件免杀之后，NIS 也不行。。。
我勒个去。。。原本想等微点到期后不再续费的。。。看来微点还是不可替代的啊。。。

显示全部楼层 · 发表于 2011-3-29 17:06:07

fzq198776 发表于 2011-3-29 16:54
做了文件免杀之后，NIS 也不行。。。
我勒个去。。。原本想等微点到期后不再续费的。。。看来微点还是 ...

卡巴呢？

显示全部楼层 · 发表于 2011-3-29 17:11:05

机会太贵发表于 2011-3-29 17:06
卡巴呢？

卡巴没做文件免杀，没试过，但是手上有能干掉处于交互式模式的 KIS2011 的恶性样本

显示全部楼层 · 发表于 2011-3-29 17:12:21

fzq198776 发表于 2011-3-29 17:11
卡巴没做文件免杀，没试过，但是手上有能干掉处于交互式模式的 KIS2011 的恶性样本

什么杀软防得住？

显示全部楼层 · 发表于 2011-3-29 17:13:40

机会太贵发表于 2011-3-29 17:12
什么杀软防得住？

微点主动防御，以及联网状态下的360安全卫士以及联网状态下 NIS2011的 sonar

显示全部楼层 · 发表于 2011-3-29 17:18:52

本帖最后由 testhawk 于 2011-3-29 17:31 编辑

实机改了md5后测试360..成功拦住样本..系统无异常...日志:
时间
操作
说明
次数
17:14:58
已阻止
修改开机启动项
1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[Panda0.exe]
注册表内容：C:\Users\ADMIN\Desktop\Panda0.exe
进程：C:\Users\ADMIN\Desktop\Panda0.exe
17:14:58
自动阻止
修改文件关联
2
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\[]
注册表内容：exefile
进程：C:\Users\ADMIN\Desktop\Panda0.exe
17:14:58
自动阻止
修改文件关联
2
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\[]
注册表内容：jpegfile
进程：C:\Users\ADMIN\Desktop\Panda0.exe
17:14:57
已阻止
修改文件关联
1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon\[]
注册表内容：C:\windows\system32\bzdhz.ico
进程：C:\Users\ADMIN\Desktop\Panda0.exe
17:14:07
自动阻止
修改文件关联
1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\[]
注册表内容：exefile
进程：C:\Users\ADMIN\Desktop\Panda1.exe
17:14:07
自动阻止
修改文件关联
1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\[]
注册表内容：jpegfile
进程：C:\Users\ADMIN\Desktop\Panda1.exe
17:14:07
已阻止
修改开机启动项
1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[Panda1.exe]
注册表内容：C:\Users\ADMIN\Desktop\Panda1.exe
进程：C:\Users\ADMIN\Desktop\Panda1.exe
17:14:06
已阻止
修改文件关联
1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon\[]
注册表内容：C:\windows\system32\bzdhz.ico
进程：C:\Users\ADMIN\Desktop\Panda1.exe

这个日志和HIPS的差不多..

显示全部楼层 · 发表于 2011-3-29 17:24:42

本帖最后由 fzq198776 于 2011-3-29 17:27 编辑

testhawk 发表于 2011-3-29 17:18
实机改了md5后测试360..成功拦住样本..系统无异常...

无数个样本的测试表明对付木马以及恶性病毒的行为拦截，还是的信赖微点。。。
对付流氓软件的行为拦截，还是的信赖 360卫士

显示全部楼层 · 发表于 2011-3-29 17:46:29

回复 9楼 fzq198776 的帖子

这个样本居然MD都没法防住??晕了

[瑞星] 虚拟机实测：瑞星的行为防御引擎无法防御熊猫烧香病毒，以及瑞星行为防御原理的思考

本帖子中包含更多资源