轻松绕过“应用程序网络访问监控”模块
在上篇
《小测瑞星的主动防御》测试中提到的cc.exe病毒,当时看到这个文件的版本信息是仿的瑞星的
不禁想到这种方式很有可能会绕过瑞星一些智能识别的防御模块,经过测试发现,可以轻松绕过“应用程序网络访问监控”模块,换句话说,
如果一个瑞星当前版本不识别的、仿瑞星文件版本信息的、下载器类型的病毒文件运行后,即使瑞星开启所有监控的情况下,也可以成功联网下载病毒(瑞星无视)。我是这样验证的:
同样先请出瑞星
确保应用程序网络访问监控开启,
smsniff.exe是我较常用的一个网络数据包捕获工具,使用这个工具进行捕获时会有联网动作,下图中的复件 smsniff.exe就是我使用PE编辑工具对smsniff.exe进行修改过的——只仿瑞星版本信息。
当运行原版smsniff时,瑞星弹出拦截提示
当运行修改过的smsniff时,瑞星无任何提示,软件已经开始正常捕获了。
再看瑞星的访问控制列表,已经被自动的添加上了允许的规则了。
附件为原版及修改过的smsniff.exe文件。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; CIBA; MAXTHON 2.0)
