标题:
从金山U盘专杀看微点主防~ (西毒_阿虎)
[打印本页]
作者:
点饭的百度空间
时间:
2009-7-12 09:26
标题:
从金山U盘专杀看微点主防~ (西毒_阿虎)
2009年06月28日 星期日 16:52
一日心血来潮,装了一个微点,刚巧要用U盘,就开起金山U盘专杀查杀,结果。。。
回忆刚才的动作,经过反复测试,终于发现了微点萎缩的地方~
微点通过2种方式检测:
1,hook了大量APi,在API前后提取相应特征。(这样就会显示XXX病毒)
2,hook了大量APi,根据某些API的组合来报毒(就是发现未知木马的高启发规则)
金山U盘专杀为什么会触碰微点的高启发呢?
是微点的规则有问题还是金山U盘专杀有猥琐动作?
经过分析,发现微点拦截了金山U盘专杀的自更新模块
金山U盘专杀的自更新模块如下:
1,检查是否有自更新,有了下载新版本到当前目录命名为kavudisk.exe_new
2,将当前进程对应的文件改名,kavudisk.exe改为kavudisk.exe_bak
3,再将新kavudisk.exe_new改为kavudisk.exe执行,原来的自己退出。
注:金山U盘专杀就一个文件,要实现自升级貌似也只有这个方法了吧。
微点的有一个规则是:
1,下载文件
2,当前进程改自己文件的名字
3,有链接网页消息(打开网页)
当同时满足上面3条时,则报未知木马,满足任意2条则不报。(当然其他规则另议,如下载后运行程序等)
上面的规则貌似没有什么问题,因为现在的下载器无非也就这么几个动作,但是金山U盘专杀没有同时满足3个条件阿为什么会报毒。
仔细回想发现:
由于升级失败(微点导致),U盘专杀提示“请到官方下载最新版”,我点击了这个链接,直接微点提示未知木马。桌面上发现U盘专杀下载的最新文件,没有被改名,为什么没有改呢?
后来发现,
微点禁止当前程序改自己的名字,发现有改名字的操作直接返回失败,且没有提示。
(让我想起了当年RX卡卡的删邮事件,就是Hook了某个函数,检测没有发现病毒特征直接返回true,且不知一些API的返回值,不光只有true or false,呵呵扯远了)
发现问题所在咯,就是金山U盘专杀自更新改名的时候被微点直接XX掉导致的,微点的这种做法直接影响到了小程序的自更新(后来发现windows清理助手的自更新微点也XX)。微点阿你XX别人的时候,能不能叫一声啊,哪怕和RX一样都无所谓,直接后面给别人捅黑刀子。。。。
干掉微点的驱动后,自更新成功
上一篇:RX果然狠~
2009年06月26日 星期五 21:42
瑞星的主防一直很狠,只要弹框出来,不管是什么都是默认拒绝,而且读15秒,
这次连自己的卡卡也干,真牛13~
上图,啥都不说~
作者:
han
时间:
2009-7-12 10:32
要解决此问题可能只有加白名单了。
作者:
黑天使
时间:
2009-7-12 11:02
标题:
楼上正解
机器毕竟不是人。规则都是人定的。我的白名单里长长一串。
作者:
@东方不败@
时间:
2009-7-12 14:08
只能够说这个博主没有注意过行业道德,而且分析的也不一定对,这个人貌似金山官方的吧
作者:
qq646830734
时间:
2009-7-13 17:06
要解决此问题可能只有加白名单了
作者:
lsj301
时间:
2009-7-13 19:54
人都有错,何况人的产品,加入白名单就成了,不必上纲上线的.
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
