|
|
图片: <br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_2138cd8c0f77cb5.jpg" border="0" alt=""/>
<br/><br/>图片: <br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_0270d0dcd20a25b.jpg" border="0" alt=""/>
<br/><span class="tpc_content"><strong><font size="2">近年来,木马成为了网络安全的一大新的威胁,于是各种各样的反木马软件也应运而生,前一段我听朋友介绍,在木马杀客官方主页上下载了一个名为木马杀客的软件(现在最新版本是2007测试版1),试用之后,发现了一些问题,现在整理出来,让大家做一个了解。<br/>我下载的是绿色版的木马杀客2007测试1,从目录下的EThread.fne等文件的fne名可以确定,该软件是使用易语言编写的。在试用过程中,我发现,木马杀客是靠文件名+文件体积的方式来识别木马的(也就是用作者在网上收集的木马名字和木马文件的体积和扫描的文件来进行对比),为此我特地做了两个小试验来进行验证:<br/><b>NO1.小试验一:</b><br/>在桌面建立一个空文本文件:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_8b4cd80da7c341c.jpg" border="0" alt=""/>
<br/>改名为lsass.exe,木马杀客立马报毒,并立即改后缀隔离(要将该空字节文件和木马杀客同时置于桌面或者同一目录下):<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_04c79492c9b710c.jpg" border="0" alt=""/> 这难道也叫木马,空的文件,可笑:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_dbfd1ebf0516404.jpg" border="0" alt=""/>
<b>上述小试验大家可以看出,木马杀客就是靠的已知的文件名来识别木马的,作者所谓的病毒样本上报,也不过就是想得到新木马安装之后的服务端名字和文件体积而已。</b><br/><b>NO2.小试验二:</b><br/>我在网上下载了“中国病毒联盟”的25个木马的文件包,选取了里面的一个木马:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_3dc137c55a59acf.jpg" border="0" alt=""/> 木马杀客可以识别出来并隔离:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_a199e46f4c68c66.jpg" border="0" alt=""/> 为了改变文件的大小,我给该测试用木马加了一个空的区段:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_176c0458b9d9817.jpg" border="0" alt=""/> 大家仔细看,文件体积已经改变:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_2af48793093b27f.jpg" border="0" alt=""/> 在用木马杀客去扫,已经没办法识别出来了:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_8c1f2de10fb2dc3.jpg" border="0" alt=""/> 换用卡巴去扫,依旧可以识别出来:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_7fb4214096f3b99.jpg" border="0" alt=""/>
<b>通过上面的两个小试验大家可以看出,木马杀客识别木马的方法就是靠的文件名+文件体积的办法,也许有些木马杀客的拥护者要质疑,那我在接着验证一下,看木马杀客是否支持先阶段主流的表面特征吗识别技术。</b><br/><b>NO3.小试验三:</b><br/>同样选取刚才的木马:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_50f704e79bbd377.jpg" border="0" alt=""/> 木马杀客可以识别出来:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_74fbebf3a07890a.jpg" border="0" alt=""/>
<br/>我试用MyCLL将木马分成50块:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_2ed992a9c1dc3dc.jpg" border="0" alt=""/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_2325722a48a036e.jpg" border="0" alt=""/> 再用木马杀客扫描,已经不报毒了:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_d94802ac39ed01e.jpg" border="0" alt=""/> 卡巴和AVG Anti-Spyware v7.5因为支持特征码是被技术的缘故,可以查杀分块后的文件<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_31c0f26f944a1ac.jpg" border="0" alt=""/> [img]<b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_db1f5991ca5a794.jpg" border="0" alt=""/> 上面的对比测试已经可以充分说明了木马杀客识别木马的原理了,想必大家心里也有了一个底。其实衡量一个杀木马软件还有一个重要的指标就是支持脱的壳是多少,关于这一点,遗憾的是,木马杀客作者也许连什么叫加壳都不知道吧,也就谈不上支持何种壳了。大家可以参看:</font><a href="http://softbbs.pconline.com.cn/topic.jsp?tid=6087616" target="_blank"><font size="2">http://softbbs.pconline.com.cn/topic.jsp?tid=6087616</font></a><font size="2">。<br/><b>NO4:我还要说一点的是,木马杀客号称一个反木马软件,可自身却被杀软大厂报识别为木马</b><br/>这是昨天截取的图片,瑞星2006将木马杀客识别为键盘记录类木马:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_84b9046a1bf3164.jpg" border="0" alt=""/> AVAST!4.7专业版同样的也将木马杀客报为病毒:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_9adf2bdd8800960.jpg" border="0" alt=""/> 这个呢稍有电脑常识的人都能想到它要干什么了吧,我就不多做解释,大家自己去想吧:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_f7f3210f35fd745.jpg" border="0" alt=""/>
</font><font size="2"><b>木马杀客的论坛上有人说是因为易语言的缘故,但奇怪的是我用易语言再带生成的MP3播放器用上述两个杀软扫描,并没有任何提示。<br/>多的评述就不说了,功过是非,大家自己去想吧!</b><br/><b>木马杀客论坛上有人解释说,我的第一个测试有问题,说他那个是因为加入了什么所谓的“系统内核保护技术”,只要在别的地方发现与系统关键文件同名的文件,就会立即删除,那好,就这句话,我就补上另一个试验,就可以揭穿他们的谎言了.</b><br/>同样的建立三个空的TXT文件:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_8793f8786b1b77c.jpg" border="0" alt=""/> 改名为G_server.exe,G_server.dll和G_server_hook.dll也就是老版本灰鸽子三个服务端文件名:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_dcb3863a02a2585.jpg" border="0" alt=""/> 看到了没有,同样是空字节的文件:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_292026936c63bdf.jpg" border="0" alt=""/>
<br/>看到没有,报为灰鸽子了:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_58d047d80811cba.jpg" border="0" alt=""/>
<br/>更离谱的是我选取了木马杀客的三个主要文件,mmsk.exe、mmskskin.dll、skinppwtl.dll三个文件<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_0d4cec81db84884.jpg" border="0" alt=""/> 改名为G_server.exe、G_server.dll、G_server_hook.dll。<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_ddc0d7734ae243f.jpg" border="0" alt=""/> 看到没有木马杀客真正是铁面无私,即使是自家的文件,主要换上木马的名字,照样报毒。<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_a11bbd57132957a.jpg" border="0" alt=""/>
<b>做完上面的这些小实验之后,我就想,做为国内的另一个查杀木马的拳头产品---木马克星会不会也有这样的问题呢。接下来,我就用相同的小实验来验证一下:</b><br/>采取相同的办法,提取了三个文件出来,分别是木马克星安装目录下的Iparmor.exe,SocketArmor.dll,和HookHookDll.dll:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_c0f2fe1349225b0.jpg" border="0" alt=""/> 还是改为图中所示灰鸽子的三个服务端文件:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_c9ada5e197ff21c.jpg" border="0" alt=""/> 心彻底寒了,也是将自己报为木马,这也从侧面说明了,木马克星和木马杀客根本就是一丘之貉:<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_74641634cc93e60.jpg" border="0" alt=""/> G_server.dll文件没有被识别为木马,其根本的原因是G_server.dll这个文件名未必木马克星作者收录的缘故吧.<br/><b></b><br/><img src="http://bbs.ylmf.com/attachment/Day_061124/10_23241_a8f1ae56af331af.jpg" border="0" alt=""/>
<br/></font><b><font size="2">说实话,对国产软件再一次的彻底死心了。说实话,这些软件,名字一个比一个起的有气势,可性能却一个比一个垃圾,但就是这些糟糕的软件被很多国人盲目的迷信着,追捧着。真的不明白,国人为何就是如此的好骗,一个智慧星已经把大伙骗的团团转了,现在更是,骗人的软件比比揭示,倾巢而出。我在想,人的道德感都哪儿,这些造假之人难道就没有一丝丝的愧疚吗。不要让金钱蒙蔽了你们的良知,醒悟吧。<br/>最后,送给这些作者们一句心底话:“修合无人见,存心有天知”</font></b><br/></strong><br/><br/><br/></span> |
|
IP卡
狗仔卡
发表于 2007-1-13 08:13:59
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主