首页 | 新闻 | 交流 | 问吧 | 文档 | 手册 | 下载 | 博客

收藏此问题 发表新评论

【杀软同测】360木马云查杀如何被木马干掉



测试方式:黑客实战
测试环境:Windows2003+tomcat+jsp+360 补丁全打好。软件均最新版无漏洞
安全问题:jsp的web页面漏洞
样本:免杀过主动小熊远控
特感谢:S.G.黑客作战营DJ提供样本、花生壳、各种程序、教材。
木马运行方式:webshell上传后直接cmd运行。
截图说明一切:
第一步:黑客上传exe木马到网站目录,趋势防毒墙实时监控发现病毒病清除。(360的防火墙无法在2003开启)
但是360的文件监控并没有报毒。

第二步,防毒墙没来得及清理病毒,我已经使用webshell将木马运行了。此时木马服务端已经释放,并且过了主动防御zhudongfangyu.exe了,我这里的客户端显示上线成功。使用客户端获取服务端的窗口信息如下:



第三步、使用服务端获取进程列表如下:



将杀软的进程挨个关掉。关闭360时,第一步没有成功,反而又创建一个窗口,要求输入提示码。我无视这个窗口。第二次使用结束进程,成功关闭
四:对比列表看我都关掉了什么?



5、桌面上已经没有了杀毒、监控



6、上面是昨天的。今天早上:
2.png

管理员已经发现了昨晚杀毒、监控被关闭的问题。(这是个gov的服务器,里面很多重要东西,管理员当然要负责任)
早上起来查杀。
早上起来,我打开电脑,发现这个服务端没有上线。我很纳闷,于是又用webshell运行了一遍,发现了问题所在,360杀毒正在运行,我的木马已经被限制了。但是我的木马重新释放并运行一次,又可以突破360了。

点评:本次评测并不是针对360的产品,纯属黑客入侵的一个实际例子。值得一提的是,我的木马的服务端,没有采用任何的加壳行为,居然没有杀毒软件报毒!
杀毒软件在提高加壳病毒识别能力的同时,是不是忽视了原始的不加壳手段的检测?!?!
到现在为止,我的上传在C盘的木马服务端仍然没有被扫描出来!
3.png
也就是说,只要我把webshell隐藏的好,我就可以随时让服务端释放,随时让这台gov的服务器上线。
继续点评:360的产品我不太熟悉,我觉得好像是很多,什么木马云查杀、杀毒啊乱七八糟的。不过公司是不是应该随时的回顾一下自己的产品:花样多,种类齐全,是不是质量也提高上去?我用的是小熊木马远控,名气、功能都应该是没法跟灰鸽子之类的比的。但是我却轻易地搞掉了他的主动防御以及各种进程。为什么呢?
识别能力不够?不是吧?截图显示能查出来啊。
360确实是一个新生的杀毒软件,能否发展下去,靠的不是广泛的“云”,而是能力。能查出木马,能检测到东西却干不掉,没事,咱想办法手动干掉。但是查出来却被人干掉就悲剧了

在测评中,360在杀毒的过程中,我用客户端的“结束进程”,直接干掉了正在杀毒的360。而刚才我测试了一个edu.cn的服务器,同时装了360和卡巴。
下面是结果:
1.png
上面是我的webshell,使用tasklist列出进程列表。同时存在卡巴和360.说实话,我不很看好卡巴。但是测试结果却让我对他刮目相看:
2.png
我一下就结束了360和主动防御,而卡巴,第一次结束没反应,第二次结束成功。
本以为这就结束了,我运行我的webshell。结果……、
没成功上线。再看进程列表
6.png
卡巴再一次出现了!

我仍然要说,我不是针对360的产品,这次评测纯属实际入侵过程中遇到的一个真实例子。你让我去测别的,可以,但是要遇到啊。但是我现在的一个edu.cn的服务器,一个.gov.cn的服务器。他们这些国家报销的有钱大户人家都不用昂贵的杀软,都用360,真是入侵一共能遇到几个不用360的???!!!
既然360这么多的用户,软件做的就不能像猴子掰玉米,做一个扔一个吧?卡巴是占内存大,但是,在第一个.gov里,开着360,还能查出我释放的木马(共两个,一个是我上传的,一个是运行上传那个释放的。上传的都没查出来,释放的则360查出来了),怎么不能防止我的木马上线?而卡巴,虽然也查不出我的木马,但是我绞尽脑汁还是无法让木马突破卡巴的防线!


PS:一个产品真的要发展下去,靠的是能力。尤其是杀毒、防御产品,不能以识别的病毒多为能力,而是查杀能力,反 木马、病毒的反查杀!

服务端为黑客DJ经过免杀处理后的,具有黑金价值,恕不提供。

1.png

再次感谢{ S.G. 黑客作战营 }成员DJ提供各种素材、程序、教程、木马、动态域名等等。
昵称: WL佳佳  时间: 2010-02-27 23:00:00
真的没有了
昵称: dyd12  时间: 2010-02-27 23:36:00
很厉害
昵称: 椰子树  时间: 2010-02-28 00:04:00
360就这样挂了?   
昵称: quansisi  时间: 2010-02-28 01:03:00
说详细些,否则有人会看不懂
昵称: 流风33  时间: 2010-02-28 09:40:00
佳佳应该也试试其他的杀软,有个对比说服力更强,不然会让枪手认为你在给360难堪......
不如,佳佳对comodo也下手试试呗,看看这个免费的比之360何如?
昵称: 北夜之风  时间: 2010-02-28 09:54:00
你针对360安全卫士?
怎么不直接弄360杀毒试试?多测测其他杀毒软件。有个公平的结论最好。
昵称: zlq_hysy  时间: 2010-02-28 10:18:00
原帖由 流风33 于 2010-2-28 09:40 发表
说详细些,否则有人会看不懂

嗯,已经完善了。
昵称: WL佳佳  时间: 2010-02-28 11:44:00
我用的是实际入侵中的例子。以后遇到其他的我会再发的,到时汇总即可。不是针对某款产品,而是
感慨杀毒、防御产品,不能以识别的病毒多为能力,而是查杀能力

悲剧的是,我的服务端没有加壳,居然没有杀软识别的出来
昵称: WL佳佳  时间: 2010-02-28 11:46:00
凌晨  还能看,现在积分100了     

不过再来瞧瞧

木马没有加壳?新木马?  如果是原来的木马,那360杀毒就有点力不从心了
其他杀软也查不出佳佳的木马?
昵称: 人才继续  时间: 2010-02-28 12:04:00
是很强大
昵称: quansisi  时间: 2010-02-28 14:16:00
很厉害
昵称: ghostsys  时间: 2010-02-28 15:37:00
只有安全卫士?所谓杀木马的可能拼不过杀毒软件,可以试下360杀毒,那个用BD的引擎,估计能行
昵称: a199961  时间: 2010-02-28 15:42:00
如果真如楼上说的这样,360真的应该有所警觉。
昵称: 流风33  时间: 2010-02-28 15:59:00
不错,学习了。
不过没加壳的竟然没杀的?不可理解…
有时间佳佳测试下其他的杀软吧,呵呵。期待…
昵称: 电脑报爱好者8  时间: 2010-02-28 20:31:00
好,学习下了
昵称: 逝水№无痕  时间: 2010-03-01 10:27:00
360安全卫士的防护能力的确不好,没有驱动级的保护,很多工具都很轻松将它杀掉。不知道360杀软表现如何。
昵称: nobody's home  时间: 2010-03-01 10:34:00
卫士   很久 不用了 感觉一般 对我无用了··
昵称: 乘云飞扬  时间: 2010-03-01 10:39:00
安全卫士防插件可以 病毒木马就算了
昵称: namucuo  时间: 2010-03-01 12:06:00
学习下。。。。
昵称: liaocb1686  时间: 2010-03-01 12:17:00
楼主的确是很厉害,不过安全卫士跟瑞星的杀软不能一起比较把
昵称: love87520  时间: 2010-03-01 12:34:00
原帖由 一个白菜 于 2010-3-1 12:52 发表
楼主的确是很厉害,不过安全卫士跟瑞星的杀软不能一起比较把
确实如此。。。。。
昵称: 一个白菜  时间: 2010-03-01 12:52:00
为什么要100积分嘛~老郁闷了···
昵称: love87520  时间: 2010-03-01 12:54:00
楼主很厉害
昵称: 独舞孤伤  时间: 2010-03-01 14:57:00
觉得实在太厉害了。
昵称: 小狮子AA  时间: 2010-03-01 15:11:00
积分100 ,我现在还不够20。只好等明年的今天再看了!
昵称: 丁引  时间: 2010-03-01 22:46:00
厉害!晕,怎么看不了。。。。
昵称: harry0723  时间: 2010-03-02 13:49:00
看到帖子修改了,厉害
昵称: panfeng520  时间: 2010-03-02 15:47:00
佳佳 厉害啊
昵称: 笨笨的小懒猫  时间: 2010-03-03 22:16:00
你再试试结束卡巴第三次和第四次看看有什么结果,好象卡巴的服务中只保护四次
昵称: quansisi  时间: 2010-03-04 00:02:00
360杀毒能力还差的员呢
昵称: 流风33  时间: 2010-03-04 08:39:00
楼主选择平台很特殊,360在window2003上只能用来打个补丁,其他功能好像都存在兼容性问题
昵称: liu66778  时间: 2010-03-04 09:53:00
兼容不兼容我不清楚,如果不兼容那只是360自己的问题。2003是内核和xp是一样的,既然连7都支持了,为什么不能支持server。一开始我是用我自己的机器测瑞星的,就算是只开卡卡我也无法穿透,更别说反杀卡卡了。只是因为瑞星和360不和,我才把瑞星换成了卡巴的。为什么别的没有不兼容的,偏这个连v和7都“完美”兼容的软件不兼容,你不觉得他们的心思没放到产品上吗?
昵称: 亲爱的薇  时间: 2010-03-04 10:54:00
此主题评估测评不错 敬佩楼主的精神
昵称: qijiangbo  时间: 2010-03-04 10:57:00
佳佳的帖子又改啦 ,呵呵
昵称: WL佳佳  时间: 2010-03-04 11:22:00
所谓树大招风就是如此……
昵称: judging  时间: 2010-03-04 12:00:00
本来就不看好360,不去好好研发产品,却喜欢打口水战,这样的公司也没什么前途!
本人已经在几个月前彻底弃用360!
昵称: 一个白菜  时间: 2010-03-04 12:09:00
玩了,360玩了,看来“360杀毒永久免费”也不怎么样。
昵称: 506556425  时间: 2010-03-04 13:03:00
sxx
昵称: asdfzxh  时间: 2013-07-04 03:27:21