【杀软同测】360木马云查杀如何被木马干掉



测试方式:黑客实战
测试环境:Windows2003+tomcat+jsp+360 补丁全打好。软件均最新版无漏洞
安全问题:jsp的web页面漏洞
样本:免杀过主动小熊远控
特感谢:S.G.黑客作战营DJ提供样本、花生壳、各种程序、教材。
木马运行方式:webshell上传后直接cmd运行。
截图说明一切:
第一步:黑客上传exe木马到网站目录,趋势防毒墙实时监控发现病毒病清除。(360的防火墙无法在2003开启)
但是360的文件监控并没有报毒。

第二步,防毒墙没来得及清理病毒,我已经使用webshell将木马运行了。此时木马服务端已经释放,并且过了主动防御zhudongfangyu.exe了,我这里的客户端显示上线成功。使用客户端获取服务端的窗口信息如下:



第三步、使用服务端获取进程列表如下:



将杀软的进程挨个关掉。关闭360时,第一步没有成功,反而又创建一个窗口,要求输入提示码。我无视这个窗口。第二次使用结束进程,成功关闭
四:对比列表看我都关掉了什么?



5、桌面上已经没有了杀毒、监控



6、上面是昨天的。今天早上:


管理员已经发现了昨晚杀毒、监控被关闭的问题。(这是个gov的服务器,里面很多重要东西,管理员当然要负责任)
早上起来查杀。
早上起来,我打开电脑,发现这个服务端没有上线。我很纳闷,于是又用webshell运行了一遍,发现了问题所在,360杀毒正在运行,我的木马已经被限制了。但是我的木马重新释放并运行一次,又可以突破360了。

点评:本次评测并不是针对360的产品,纯属黑客入侵的一个实际例子。值得一提的是,我的木马的服务端,没有采用任何的加壳行为,居然没有杀毒软件报毒!
杀毒软件在提高加壳病毒识别能力的同时,是不是忽视了原始的不加壳手段的检测?!?!
到现在为止,我的上传在C盘的木马服务端仍然没有被扫描出来!

也就是说,只要我把webshell隐藏的好,我就可以随时让服务端释放,随时让这台gov的服务器上线。
继续点评:360的产品我不太熟悉,我觉得好像是很多,什么木马云查杀、杀毒啊乱七八糟的。不过公司是不是应该随时的回顾一下自己的产品:花样多,种类齐全,是不是质量也提高上去?我用的是小熊木马远控,名气、功能都应该是没法跟灰鸽子之类的比的。但是我却轻易地搞掉了他的主动防御以及各种进程。为什么呢?
识别能力不够?不是吧?截图显示能查出来啊。
360确实是一个新生的杀毒软件,能否发展下去,靠的不是广泛的“云”,而是能力。能查出木马,能检测到东西却干不掉,没事,咱想办法手动干掉。但是查出来却被人干掉就悲剧了

在测评中,360在杀毒的过程中,我用客户端的“结束进程”,直接干掉了正在杀毒的360。而刚才我测试了一个edu.cn的服务器,同时装了360和卡巴。
下面是结果:

上面是我的webshell,使用tasklist列出进程列表。同时存在卡巴和360.说实话,我不很看好卡巴。但是测试结果却让我对他刮目相看:

我一下就结束了360和主动防御,而卡巴,第一次结束没反应,第二次结束成功。
本以为这就结束了,我运行我的webshell。结果……、
没成功上线。再看进程列表

卡巴再一次出现了!

我仍然要说,我不是针对360的产品,这次评测纯属实际入侵过程中遇到的一个真实例子。你让我去测别的,可以,但是要遇到啊。但是我现在的一个edu.cn的服务器,一个.gov.cn的服务器。他们这些国家报销的有钱大户人家都不用昂贵的杀软,都用360,真是入侵一共能遇到几个不用360的???!!!
既然360这么多的用户,软件做的就不能像猴子掰玉米,做一个扔一个吧?卡巴是占内存大,但是,在第一个.gov里,开着360,还能查出我释放的木马(共两个,一个是我上传的,一个是运行上传那个释放的。上传的都没查出来,释放的则360查出来了),怎么不能防止我的木马上线?而卡巴,虽然也查不出我的木马,但是我绞尽脑汁还是无法让木马突破卡巴的防线!


PS:一个产品真的要发展下去,靠的是能力。尤其是杀毒、防御产品,不能以识别的病毒多为能力,而是查杀能力,反 木马、病毒的反查杀!

服务端为黑客DJ经过免杀处理后的,具有黑金价值,恕不提供。



再次感谢{ S.G. 黑客作战营 }成员DJ提供各种素材、程序、教程、木马、动态域名等等。

作者: WL佳佳   发布时间: 2010-02-27

真的没有了

作者: dyd12   发布时间: 2010-02-27

很厉害

作者: 椰子树   发布时间: 2010-02-28

360就这样挂了?   

作者: quansisi   发布时间: 2010-02-28

说详细些,否则有人会看不懂

作者: 流风33   发布时间: 2010-02-28

佳佳应该也试试其他的杀软,有个对比说服力更强,不然会让枪手认为你在给360难堪......
不如,佳佳对comodo也下手试试呗,看看这个免费的比之360何如?

作者: 北夜之风   发布时间: 2010-02-28

你针对360安全卫士?
怎么不直接弄360杀毒试试?多测测其他杀毒软件。有个公平的结论最好。

作者: zlq_hysy   发布时间: 2010-02-28

原帖由 流风33 于 2010-2-28 09:40 发表
说详细些,否则有人会看不懂

嗯,已经完善了。

作者: WL佳佳   发布时间: 2010-02-28

我用的是实际入侵中的例子。以后遇到其他的我会再发的,到时汇总即可。不是针对某款产品,而是
感慨杀毒、防御产品,不能以识别的病毒多为能力,而是查杀能力

悲剧的是,我的服务端没有加壳,居然没有杀软识别的出来

作者: WL佳佳   发布时间: 2010-02-28

凌晨  还能看,现在积分100了     

不过再来瞧瞧

木马没有加壳?新木马?  如果是原来的木马,那360杀毒就有点力不从心了
其他杀软也查不出佳佳的木马?

作者: 人才继续   发布时间: 2010-02-28

是很强大

作者: quansisi   发布时间: 2010-02-28

很厉害

作者: ghostsys   发布时间: 2010-02-28

只有安全卫士?所谓杀木马的可能拼不过杀毒软件,可以试下360杀毒,那个用BD的引擎,估计能行

作者: a199961   发布时间: 2010-02-28

如果真如楼上说的这样,360真的应该有所警觉。

作者: 流风33   发布时间: 2010-02-28

不错,学习了。
不过没加壳的竟然没杀的?不可理解…
有时间佳佳测试下其他的杀软吧,呵呵。期待…

作者: 电脑报爱好者8   发布时间: 2010-02-28

好,学习下了

作者: 逝水№无痕   发布时间: 2010-03-01

360安全卫士的防护能力的确不好,没有驱动级的保护,很多工具都很轻松将它杀掉。不知道360杀软表现如何。

作者: nobody's home   发布时间: 2010-03-01

卫士   很久 不用了 感觉一般 对我无用了··

作者: 乘云飞扬   发布时间: 2010-03-01

安全卫士防插件可以 病毒木马就算了

作者: namucuo   发布时间: 2010-03-01

学习下。。。。

作者: liaocb1686   发布时间: 2010-03-01

楼主的确是很厉害,不过安全卫士跟瑞星的杀软不能一起比较把

作者: love87520   发布时间: 2010-03-01

原帖由 一个白菜 于 2010-3-1 12:52 发表
楼主的确是很厉害,不过安全卫士跟瑞星的杀软不能一起比较把
确实如此。。。。。

作者: 一个白菜   发布时间: 2010-03-01

为什么要100积分嘛~老郁闷了···

作者: love87520   发布时间: 2010-03-01

楼主很厉害

作者: 独舞孤伤   发布时间: 2010-03-01

觉得实在太厉害了。

作者: 小狮子AA   发布时间: 2010-03-01

积分100 ,我现在还不够20。只好等明年的今天再看了!

作者: 丁引   发布时间: 2010-03-01

厉害!晕,怎么看不了。。。。

作者: harry0723   发布时间: 2010-03-02

看到帖子修改了,厉害

作者: panfeng520   发布时间: 2010-03-02

佳佳 厉害啊

作者: 笨笨的小懒猫   发布时间: 2010-03-03

你再试试结束卡巴第三次和第四次看看有什么结果,好象卡巴的服务中只保护四次

作者: quansisi   发布时间: 2010-03-04

360杀毒能力还差的员呢

作者: 流风33   发布时间: 2010-03-04

楼主选择平台很特殊,360在window2003上只能用来打个补丁,其他功能好像都存在兼容性问题

作者: liu66778   发布时间: 2010-03-04

兼容不兼容我不清楚,如果不兼容那只是360自己的问题。2003是内核和xp是一样的,既然连7都支持了,为什么不能支持server。一开始我是用我自己的机器测瑞星的,就算是只开卡卡我也无法穿透,更别说反杀卡卡了。只是因为瑞星和360不和,我才把瑞星换成了卡巴的。为什么别的没有不兼容的,偏这个连v和7都“完美”兼容的软件不兼容,你不觉得他们的心思没放到产品上吗?

作者: 亲爱的薇   发布时间: 2010-03-04

此主题评估测评不错 敬佩楼主的精神

作者: qijiangbo   发布时间: 2010-03-04

佳佳的帖子又改啦 ,呵呵

作者: WL佳佳   发布时间: 2010-03-04

所谓树大招风就是如此……

作者: judging   发布时间: 2010-03-04

本来就不看好360,不去好好研发产品,却喜欢打口水战,这样的公司也没什么前途!
本人已经在几个月前彻底弃用360!

作者: 一个白菜   发布时间: 2010-03-04

玩了,360玩了,看来“360杀毒永久免费”也不怎么样。

作者: 506556425   发布时间: 2010-03-04

sxx

作者: asdfzxh   发布时间: 2013-07-04