|
|
发表于 2011-8-30 16:21:09
|显示全部楼层
随着360卫士的不断发展完善及全民普及,可以说360卫士主防现在基本上算是木马盛行的最大阻力了。要想攻克它,必须先了解360主防的特点,下面就这个问题,说说本人一点体会。
360卫士的主防,官方定义为“云主防”。那么什么是“云主防”?根据我的体会,可以吧360主防看成是一个特殊的3D-HIPS,即:AD,FD,RD,及MD5云验证。
谈到HIPS,我们就想到了“规则”。一般这样的规则分为两大类,一是全盘禁止或提示+局部放行:二是全盘放行+局部禁止或提示。因为用户计算机基础高低不等,考虑到易用性及弹窗,360卫士采用的就是全盘放行+局部禁止和提示,这样可以减少提示和与其他软件冲突的情况,但同时就降低了它防御的全面性。比如:
文件防御(FD):从一些测试可以看出360主防主要是:1.“启动”或“start”文件夹禁止写入,修改,及删除;2.“system”目录禁止修改及删除;3.驱动目录禁止写入、修改及删除;4.“360safe”文件夹和360驱动文件禁止写入、删除、修改;5.一些关键的系统文件等等,大家可以测试验证。
注册表防御(RD):1.360相关的注册表项和值禁止修改、删除。(有一个例外,有兴趣的可以自己找,可以利用);2.和自启动项相关的,基本上禁止修改,添加(可以试着找找遗漏的);3.镜像劫持相关禁止修改、添加;4.和服务相关的禁止添加和修改;5.其他:桌面屏保,输入法、驱动相关、文件关联的等等。
应用程序防御(AD):一些系统相关的程序如explorer.exe等做了一定的限制。
但仅仅这样还不够,弹窗依然很多,于是加入了“云MD5”验证。文件运行时,360卫士即将文件的MD5发送给360服务器,把经过云验证的文件分为3类:1.白名单:即可信任的文件,如正版QQ、迅雷等;2.黑名单:已经确认入库的木马、病毒、木马工具等;3.未知文件,即未入库的文件。如果是白名单类直接提升安全并放行;如果是黑名单类,直接提示木马、风险并阻止运行,建议删除操作;3:如果是未知文件类,这就走HIPS这条线路,有上面的3D行为的话就提示。
断网情况下,为避免频繁弹窗导致用户不满,360主防默认大部分HIPS防御放行,仅仅部分非常危险的提示。
从上述不难看出360“云主防”,其实是有局限性的。
突破的思路,我大致说一下:
第一,从“3D规则”突破, 360卫士采用的全盘放行+局部禁止和提示的防御不全面性,本身就存在着一定的缺陷,免杀的感染性木马和DLL劫持木马就是最好的说明。寻找“规则”的漏洞,进而过“云主防”,是最常见的方法。
第二,从“联网”突破,可以直接或间接的断网或拦截,这样大部分HIPS防御放行,所以有木马因为断网可以过掉主防。
第三,从“md5云验证”突破,几年前已经有人证明了md5值并不是唯一的。2个文件可以有相同的md5值,这就意味着木马可以伪装成360白名单的文件,进而通过主防。
第四,从API函数突破,寻找未被拦截行为的API函数,进而应用在木马上以达到突破的目的。
第五,从“社会工程学”突破,比如:“要运行某某外挂,必须关闭或卸载360。”
第六,从系统内核或360本身突破,某些大牛们常干的事。
。。。。。。金山、腾讯之类的就不多说了,玩木马的都知道。 |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡