Zcdgsa - 2011-4-1 13:41:00
瑞星升级成2011已经很久了,今天有空突然想测试下瑞星的性能,特别是主动防御,发现一个严重的问题。测试程序灰鸽子2.03(很老的版本了),选择注入IE,安装成服务这些危险动作,详细过程在这我就不便写了。测试发现瑞星在检测程序时是放过所有数字签名的程序,并且未检测程序所用的签名是否为信任的证书发行机构发行的,这不是“防君子不防小人”吗?将木马防御的行为分析引擎级别调到最高,取消勾选不检测的程序文件下的“包含数字签名的程序文件”及“云安全中的安全文件”,问题依旧。这是非常危险的。
另外,发觉瑞星现在的杀毒引擎启发性还是很弱,用普通的免杀方法仍然比较容易就过表面了。
其实,我也是瑞星的忠实使用者,希望瑞星能尽快修复上面提的问题,也祝愿瑞星能越做越好。
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; aff-kingsoft-ciba; staticlogin:product=cboxf09&act=login&info=ZmlsZW5hbWU9UG93ZXJ3b3JkMjAwOS5leGUmbWFjPUNGNTFBM0FGQTk0MTQ4NENCRTUwQjVEMTc0RDY5NjVEJnBhc3Nwb3J0PSZ2ZXJzaW9uPTIwMDkuMDUuMjUuMy4yNzImY3Jhc2h0eXBlPTE=&verify=61178e2d444a21a938420474acfda2cc)
万事达 - 2011-4-1 13:44:00
请楼主上传您说的测试程序灰鸽子2.03以便测试,同时请提供您的瑞星软件版本号,感谢您的支持。
Zcdgsa - 2011-4-1 14:45:00
刚刚我的瑞星升级了一次,现在我的瑞星杀毒软件程序版本是23.00.24.00,我再次测试了下,发觉取消勾选不检测的程序文件下的“包含数字签名的程序文件”后,确实不能过了,估计是我开始测试时未取消掉,但未检测程序所用的签名是否为信任的证书发行机构发行的,仍是个很大的问题,并且瑞星默认设置也是勾选了“包含数字签名的程序文件”项的。
请测试时注意,因为附件需放到网上,所以未进行任何表面免杀,仅测试主动防御。
附件:
木马安装文件.rar 附件:
灰鸽子Ver2.03.part1.rar 附件:
灰鸽子Ver2.03.part2.rar 附件:
灰鸽子Ver2.03.part3.rar
newcenturymoon - 2011-4-1 15:15:00
楼主是否有添加类似数字签名的工具
Zcdgsa - 2011-4-1 15:18:00
此证书是自签的,要是这都能通过,那不是“防君子不防小人”吗?
newcenturymoon - 2011-4-1 15:22:00
什么叫“自签”
Zcdgsa - 2011-4-1 15:25:00
newcenturymoon - 2011-4-1 15:31:00
能否详细描述下
Zcdgsa - 2011-4-1 15:34:00
看图,已经非常详细了。
在说得明白些就是,我穿着假黄袍到瑞星去说我是皇帝,瑞星未经任何验证就相信我是皇帝了,就让我行使皇帝的职权了。
newcenturymoon - 2011-4-1 15:43:00
那个图只是文件上的数字签名信息而已 我问的是如何把这个文件签上的签名? 具体步骤是什么?
Zcdgsa - 2011-4-1 15:54:00
这个非常简单,任何人都可以添加自己的签名,瑞星的技术人员应该都知道。
如果公布得过于详细,可能使现在的瑞星杀毒完全失效。
万事达 - 2011-4-1 16:08:00
瑞星是hips和文件监控互补的架构,如要拦截有数字签名的软件,请在行为防御中去掉“包含数字签名的程序文件”前的勾选。
PS:3楼样本均报毒。
Zcdgsa - 2011-4-1 17:19:00
这样提示太多了,微软更新的时候都要报,普通用户根本就无法分辨。
跟你说了,没表面免杀,如果你要表面处理过的,我也可以上传,就是我觉得传到网上不大合适。
© 2000 - 2025 Rising Corp. Ltd.
