搞个数字签名就NB吗？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛搞个数字签名就NB吗？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[原创] 搞个数字签名就NB吗？

本主题由大版主 baohe 于 2009-12-28 23:03:02 执行设置高亮操作

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2009-12-28 23:00 \| 显示全部短消息资料字号：小中大 1楼搞个数字签名就NB吗？样本来自：http://bbs.janmeng.com/thread-910631-1-1.html 据说挺NB的： 1.PNG (696.43 K) 2009-12-28 23:00:02 我在WIN7 桌面双击它，不能运行（因为我设置了applocker强制规则）。可见，这关它绕不过去。那咱把它拷贝到WINDOWS目录下（见上图），双击运行，看看如何（我的applocker强制规则配置允许WINDOWS目录下的.exe运行哦）双击它之后是这种结果： 2.PNG (441.35 K) 2009-12-28 23:00:02 汗！这个有数字签名的02.exe，我看纯属炒作（或作秀）。用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.2.15 Version/10.01 baohe 最后编辑于 2009-12-28 23:14:07
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2009-12-29 09:47 \| 显示全部短消息资料字号：小中大 2楼回复: 搞个数字签名就NB吗？引用: 原帖由天月来了于 2009-12-29 7:54:00 发表人家那病毒不支持WIN7下运行 XP系统下，我也一样让它出丑。你信不信？不信？可以截图给你看。 1.JPG (496.16 K) 2009-12-29 9:58:35 baohe 最后编辑于 2009-12-29 09:58:35
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2009-12-29 16:19 \| 显示全部短消息资料字号：小中大 3楼回复: 搞个数字签名就NB吗？引用: 原帖由初殇于 2009-12-29 13:43:00 发表猫叔这种白名单的方式就很BT了。一般来说都是放过签名，提醒未签。你的规则是只允许白名单列表或白名单目录的文件运行，这样的设置，理论是不可能让病毒运行起来的。不过个人感觉比较麻烦，任何一个文件都要去设置过，而且不晓得SHELL的文件会不会同时受到规则影响。如果受到影响的话，那么有外接程序的话，就无法运行。如果不受影响，那么直接调用一下SHELL RUNDLL32又可以通过。。。我的所谓“白名单的设置”其实并不费劲（针对N多程序去一一设置白名单？犯傻呀？这种事我不干。）。关于这个问题，我有个帖子发在版家了：http://bbs.ikaka.com/showtopic-8685847.aspx 之所以这样做，是不想暴露具体的防御细节。至于你说的“调用SHELL RUNDLL32”，我也没忽略： 0.JPG.jpg (413.54 K) 2009-12-29 16:19:53 baohe 最后编辑于 2009-12-29 16:23:11
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-01-03 13:26 \| 显示全部短消息资料字号：小中大 4楼回复：搞个数字签名就NB吗？引用: 请教 baohe ：在仅安装了 Rav/RIS 2010 + 卡卡反病毒系统并已联机升级的视窗 xp 上运行该样本结果如何？然后关闭 Rav/RIS 2010 所有防御及监控，甚至 Rav/RIS 2010 的核心防护组件也被关闭了，再运行样本结果如何？谢谢！ 1、这个病毒，瑞星已经能查杀。 2、防毒，不能被病毒牵着鼻子走。自己的防护思路最重要。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-01-03 14:57 \| 显示全部短消息资料字号：小中大 5楼回复: 搞个数字签名就NB吗？引用: 原帖由产品加固于 2010-1-3 13:49:00 发表 [quote] 原帖由 baohe 于 2010-1-3 13:26:00 发表 [quote] 请教 baohe ：在仅安装了 Rav/RIS 2010 + 卡卡反病毒系统并已联机升级的视窗 xp 上运行该样本结果如何？然后关闭 Rav/RIS 2010 所有防御及监控，甚至 Rav/RIS 2010 的核心防护组件也被关闭了，再运行样本结果如何？这个破东西被某厂家炒的神乎其神玩儿死它的办法不止一种（注意：那组策略不是专门针对这个病毒的）。看清楚了：我先把系统中的安全软件（RIS2010 和CA HIPS）全部关闭了。然后运行这个NB的家伙： 1.png (652.11 K) 2010-1-3 14:57:24 再来一招戏弄它（具体招数就不透露了）。运行环境：关闭安全软件监控，取消组策略设置；提权运行它。 3.PNG (404.11 K) 2010-1-3 15:11:11 直接把它和它生的那个“死孩子”扔进回收站（死得很难看） 4.PNG (178.09 K) 2010-1-3 15:11:11 baohe 最后编辑于 2010-01-03 15:11:11
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-01-03 15:33 \| 显示全部短消息资料字号：小中大 6楼回复: 搞个数字签名就NB吗？引用: 原帖由产品加固于 2010-1-3 15:25:00 发表在仅安装了 Rav/RIS 2010 + kaka 反病毒组件的视窗 xp 系统里，不知 baohe 能否先 “关闭 Rav/RIS 2010 所有防御及监控，甚至关闭 Rav/RIS 2010 的核心防护组件” 后再运行病毒样本？结果病毒样本还是无法运行起来？仍被操作系统提示 “ 应用程序正常初始化失败” 或 “此程序被组策略阻止” ？不管该病毒样本是否具有可验证的数字签名。在仅安装了 Rav/RIS 2010 + 卡卡反病毒系在XP和WIN7 中、在不同的条件下都分别运行过这个毒，结果没有本质区别。具体的，看附图。天月此前曾说此毒不能在WIN7 中运行。错误！它在WIN7 中可以运行。如果不信，天月可以自己在WIN7 下试试。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-01-03 15:35 \| 显示全部短消息资料字号：小中大 7楼回复: 搞个数字签名就NB吗？引用: 原帖由天月来了于 2010-1-3 15:34:00 发表 baohe已经没有现成的xp系统试给你看了他试的是7系统别搞了。看你楼上回复。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-01-03 15:47 \| 显示全部短消息资料字号：小中大 8楼回复: 搞个数字签名就NB吗？引用: 原帖由产品加固于 2010-1-3 15:39:00 发表原来是这样，如果病毒样本自己再额外加上个引导模块，在引导过程里再动态内存解码，这样的病毒有数字签名还会被阻止运行？特征代码的模式匹配是有前提的，病毒代码未被反病毒厂商提取并入库，查杀是困难的，查杀滞后的问题，解决颇为困难。视窗系统并非所有版本都有相对成功的安全组策略设置，对目前仍有广大用户的 xp/2k 版本而言，能否不借助第三方安全组件实现相对安全的计算环境？结果堪虑，要不视窗厂商也不会一并发布 Defender 等安全组件或服务了。 [ 杀软是啥？对于单纯依赖杀软过日子的用户，杀软也就是个门神。维护系统以及数据安全的责任在用户。用户的安全意识是第一位的。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-01-03 15:49 \| 显示全部短消息资料字号：小中大 9楼回复: 搞个数字签名就NB吗？引用: 原帖由天月来了于 2010-1-3 15:03:00 发表而是没哪个用户知道具体的如何设置自己的组策略错误！话说的太绝对。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-01-03 16:03 \| 显示全部短消息资料字号：小中大 10楼回复: 搞个数字签名就NB吗？引用: 原帖由产品加固于 2010-1-3 15:58:00 发表请问是第几帖的附图？ 22楼，2－3图。那是WIN7 系统下的结果。XP系统下的结果，与此相同。不要说你重复不出来哦。你重复不出来就对了。因为....你不是我。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT