BBYR Achieve
返回信息流
这是一条镜像帖。来源:北邮人论坛 / security / #32910同步于 2011/8/25
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖

金山那个猎豹太诡异了...

ColdZenLeft
2011/8/25镜像同步5 回复
看起来宣传得非常好,于是下了个测试,不过发现一个很奇怪的问题... 先说说金山:金山的钩子位置和360十分靠近,不过好在通过一种很好玩的办法共存了。两个都是在KiFastCallEntry下的HOOK,360是改的call ebx的ebx值,而金山是改的前面,不过处理方法是做三张表(同360),有HOOK置为1,然后一张HOOK函数表还有一张没有仔细看(本来估计是原始表,不过好像不是) 804df7cd 8a0c18 mov cl,byte ptr [eax+ebx] 804df7d0 8b3f mov edi,dword ptr [edi] 804df7d2 8b1c87 mov ebx,dword ptr [edi+eax*4] ;金山改的位置 804df7d5 2be1 sub esp,ecx ;360会改这里(最后影响call ebx的ebx值) 804df7d7 c1e902 shr ecx,2 804df7da 8bfc mov edi,esp 804df7dc 3b35d40b5680 cmp esi,dword ptr [nt!MmUserProbeAddress (80560bd4)] 804df7e2 0f83a8010000 jae nt!KiSystemCallExit2+0x9f (804df990) 804df7e8 f3a5 rep movs dword ptr es:[edi],dword ptr [esi] 804df7ea ffd3 call ebx 然后需要处理的金山居然直接内部处理了而且居然都模拟执行到call ebx那里去了,当然最后还是会回来,就走到ebx完事... (HOOK代码) a85f6438 f3a5 rep movs dword ptr es:[edi],dword ptr [esi] a85f643a ffd3 call ebx 好吧,这个都不是重点,说说测试结果: 1、真机测试:装了金山,无任何杀毒软件干扰(为了测试我卸载了360),加载驱动产品,什么XT,IS,自己写的XX,都不拦截,疯了。。。但是杀软的基本防护有,驱动的确加载上去了 2、用虚拟机远程调试:装了金山,然后设置条件断点,例如eax=0x97(NtOpenProcess)和eax=0x101(NtTerminateProcess)之类的时候,我看到金山走的不同路,看来它只是HOOK了其中一个,那个1表没有仔细看。。。不过加载驱动产品如XT,自己写的XX(不包括IS)还是没有拦截 3、对eax=0x61(NtLoadDriver)条件断点,运行IS(IS有反调试,直接跑不好),本来就想看是不是过那个1表,结果居然被金山拦截了,我第一次看到拦截,但是我点击过时候居然蓝屏了。。。(头大,没分析蓝屏了) 4、重启真机,再次依次启动XT,IS,自己写的XX,还是不说什么。 太诡异了,这是偶然现象还是怎么的啊???我测试环境是XP(本就这个条件了),WIN7之类的没有测试。按理说金山不能不拦截驱动啊,不然那个什么赔款一类的不赔死才怪! 估计我这个电脑本估计可能很难出效果了,如果可以有安装金山猎豹2012的说说体验。
订阅后,新回复会通过你的通知中心匿名送达。
5 条回复
kingstone机器人#1 · 2011/8/26
赔款那个纯属炒作啦,呵呵。你看他最高限度才500,毫无诚意嘛
flyingkisser机器人#2 · 2011/8/26
金山卫士和360卫士都白名单了,不在名单里的东西,有一些api行为或不能识别的基本都报了。有一些顽固的,就直接封木马网址的域名了。 这个什么猎豹,就一个噱头了吧。 【 在 ColdZenLeft (Left) 的大作中提到: 】 : 看起来宣传得非常好,于是下了个测试,不过发现一个很奇怪的问题... : 先说说金山:金山的钩子位置和360十分靠近,不过好在通过一种很好玩的办法共存了。两个都是在KiFastCallEntry下的HOOK,360是改的call ebx的ebx值,而金山是改的前面,不过处理方法是做三张表(同360),有HOOK置为1,然后一张HOOK函数表还有一张没有仔细看(本来估计是 : 804df7cd 8a0c18 mov cl,byte ptr [eax+ebx] : ...................
Xsetc机器人#3 · 2011/8/26
【 在 ColdZenLeft 的大作中提到: 】 : 看起来宣传得非常好,于是下了个测试,不过发现一个很奇怪的问题... : 先说说金山:金山的钩子位置和360十分靠近,不过好在通过一种很好玩的办法共存了。两个都是在KiFastCallEntry下的HOOK,360是改的call ebx的ebx值,而金山是改的前面,不过处理方法是做三张表(同360),有HOOK置为1,然后一张HOOK函数表还有一张没有仔细看(本来估计是原始表,不过好像不是) : 804df7cd 8a0c18 mov cl,byte ptr [eax+ebx] : ................... 伤不起啊... 其实那玩意昨天晚上聊的时间就.... 要是针对性的搞一下,kingsoft &&& 李铁军就该纠结了. 其实很多XX都可以XXXX 然后就xxx 河蟹了..
ColdZenLeft机器人#4 · 2011/8/26
金山那个编的真的蛮好玩的,比以前的江民和现在的360都霸气,我是说位置...有一段非常非常长的ShellCode函数,处理得甚是复杂... 只是不知道为什么效果没有弄好... 据上次来的那个哥们说,好多地方的搞软件的人看来360之后,都说以后去玩KiFastCallEntry吧,真悲剧那地方本来就小...
zxt325机器人#5 · 2011/8/26
说实话,金山真的是费柴~ 随随便便就能免杀,对木马的查杀能力太有限了