搞个数字签名就NB吗？ bbs.ikaka.com

baohe - 2009-12-28 23:00:00

样本来自：http://bbs.janmeng.com/thread-910631-1-1.html

据说挺NB的：

我在WIN7 桌面双击它，不能运行（因为我设置了applocker强制规则）。可见，这关它绕不过去。

那咱把它拷贝到WINDOWS目录下（见上图），双击运行，看看如何:kaka16:（我的applocker强制规则配置允许WINDOWS目录下的.exe运行哦）

双击它之后是这种结果：

汗！这个有数字签名的02.exe，我看纯属炒作（或作秀）。

用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.2.15 Version/10.01

心还在否 - 2009-12-28 23:06:00

大版的系统牛病毒都不敢运行了:kaka11:

天月来了 - 2009-12-29 7:54:00

人家那病毒不支持WIN7下运行:kaka12:

baohe - 2009-12-29 9:47:00

引用:

原帖由 天月来了 于 2009-12-29 7:54:00 发表
人家那病毒不支持WIN7下运行:kaka12:

XP系统下，我也一样让它出丑。你信不信？

不信？

可以截图给你看。

天月来了 - 2009-12-29 10:21:00

对我们来说自然不在话下

问题是对于所有默认放过签名程序的安全软件来说，就难了呢

初殇 - 2009-12-29 13:43:00

猫叔这种白名单的方式就很BT了。一般来说都是放过签名，提醒未签。你的规则是只允许白名单列表或白名单目录的文件运行，这样的设置，理论是不可能让病毒运行起来的。不过个人感觉比较麻烦，任何一个文件都要去设置过，而且不晓得SHELL的文件会不会同时受到规则影响。如果受到影响的话，那么有外接程序的话，就无法运行。如果不受影响，那么直接调用一下SHELL RUNDLL32又可以通过。。。:kaka8:

初殇 - 2009-12-29 14:11:00

刚才测试了一下，用SHELL的方法一样不能打开。。。。这个规则好是好，就是太严格了些，日常用起来比较繁琐。

baohe - 2009-12-29 16:19:00

引用:

原帖由初殇于 2009-12-29 13:43:00 发表
猫叔这种白名单的方式就很BT了。一般来说都是放过签名，提醒未签。你的规则是只允许白名单列表或白名单目录的文件运行，这样的设置，理论是不可能让病毒运行起来的。不过个人感觉比较麻烦，任何一个文件都要去设置过，而且不晓得SHELL的文件会不会同时受到规则影响。如果受到影响的话，那么有外接程序的话，就无法运行。如果不受影响，那么直接调用一下SHELL RUNDLL32又可以通过。。。:kaka8:

我的所谓“白名单的设置”其实并不费劲（针对N多程序去一一设置白名单？犯傻呀？这种事我不干。）。

关于这个问题，我有个帖子发在版家了：http://bbs.ikaka.com/showtopic-8685847.aspx

之所以这样做，是不想暴露具体的防御细节。

至于你说的“调用SHELL RUNDLL32”，我也没忽略：

我是王老五 - 2009-12-29 19:07:00

是牛,想看看那个连接，可是没那个权限。呵呵

初殇 - 2009-12-30 14:04:00

努力学习。。。:kaka1:

jks_风 - 2009-12-31 18:08:00

其实我不是关心这样的数字签名能不能在WIN7下运行，而是数字签名的未来，要知道，现在2000多RMB久可以办一个数字签名，据说很多人都已经有买下一些数字签名加在木马上以防止杀软的查杀。如果可以这样的话，那么杀软的未来又将要怎样应对这种情况呢？

还只是不断的更新病毒库吗？就算是有了病毒库，又数字签名这样的保护伞，杀软怎么又敢查杀呢？

烈焰中的怒吼 - 2009-12-31 18:14:00

该用户帖子内容已被屏蔽

梦幻の星oо - 2009-12-31 18:15:00

现在搞免杀的有些就用数字签名

BIN斌s - 2010-1-1 18:21:00

领教了

产品加固 - 2010-1-3 13:03:00

请教 baohe ：

在仅安装了 Rav/RIS 2010 + 卡卡反病毒系统并已联机升级的视窗 xp 上运行该样本结果如何？

然后关闭 Rav/RIS 2010 所有防御及监控，甚至 Rav/RIS 2010 的核心防护组件也被关闭了，再运行样本结果如何？

谢谢！

baohe - 2010-1-3 13:26:00

引用:

请教 baohe ：

在仅安装了 Rav/RIS 2010 + 卡卡反病毒系统并已联机升级的视窗 xp 上运行该样本结果如何？

然后关闭 Rav/RIS 2010 所有防御及监控，甚至 Rav/RIS 2010 的核心防护组件也被关闭了，再运行样本结果如何？

谢谢！

1、这个病毒，瑞星已经能查杀。
2、防毒，不能被病毒牵着鼻子走。自己的防护思路最重要。

产品加固 - 2010-1-3 13:49:00

引用:

原帖由 baohe 于 2010-1-3 13:26:00 发表

引用:

请教 baohe ：

在仅安装了 Rav/RIS 2010 + 卡卡反病毒系统并已联机升级的视窗 xp 上运行该样本结果如何？

然后关闭 Rav/RIS 2010 所有防御及监控，甚至 Rav/RIS 2010 的核心防护组件也被关闭了，再运行样本结果如何？

谢谢！

1、这个病毒，瑞星已经能查杀。
2、防毒，不能被病毒牵着

.

谢谢 baohe 回复及提醒！

因为没有合适的测试环境，所以在之前的帖子向 baohe 请教有关问题。

相信帖子讨论的病毒样本已能被 Rising 查杀。

不知 baohe 能否先 “关闭 Rav/RIS 2010 所有防御及监控，甚至关闭 Rav/RIS 2010 的核心防护组件” 后再运行样本？

看看测试结果如何？

谢谢！

天月来了 - 2010-1-3 14:00:00

你意思是关闭所有瑞星的防护，然后看Windows系统自身能否阻止？？

那我可以告诉你，他那策略是完全可以阻止的。

天月来了 - 2010-1-3 14:02:00

文件特征码如果匹配

就算有数字签名的东西也一样喀嚓的。

要不杀毒软件的误杀系统文件就不可能了？？

产品加固 - 2010-1-3 14:20:00

引用:

原帖由 天月来了 于 2010-1-3 14:00:00 发表
你意思是关闭所有瑞星的防护，然后看Windows系统自身能否阻止？？

那我可以告诉你，他那策略是完全可以阻止的。

.

谢谢 天月来了 回复及提醒！

"意思是关闭所有瑞星的防护，然后看Windows系统自身能否阻止"
---------------
是的，如果仅凭视窗系统内置的安全组件及策略，能否阻挡病毒样本的入侵，不管该病毒样本是否具有数字签名。

“那我可以告诉你”
----------------
谢谢让我们知道这些！

“那策略是完全可以阻止的”
----------------
厉害！如此说来，个人用户岂不是无须安装 Rav/RIS 2010 了？

请问能否让包括我们在内的广大只安装了 Rav/RIS2010 + 卡卡的用户们进一步了解上述策略的设置方法？毕竟 Rav/RIS 2010 运行时系统性能颇受影响的。

产品加固 - 2010-1-3 14:29:00

引用:

原帖由 天月来了 于 2010-1-3 14:02:00 发表
文件特征码如果匹配

就算有数字签名的东西也一样喀嚓的。

要不杀毒软件的误杀系统文件就不可能了？？

谢谢 天月来了 回复及提醒！

在没有安装第三方反病毒组件的视窗 xp 系统里能做到 “文件特征码如果匹配就算有数字签名的东西也一样喀嚓” ？

一般说来，如果确认有操作系统厂商数字签名的系统文件也被反病毒系统错杀，问题往往出在反病毒厂商，毕竟伪造 CA 中心确认过的数字签名不是一件容易的事情，所以简单依据 “文件特征码匹配” 技术斩钉截铁地宣布可疑文件是病毒并 “喀嚓” 是不稳妥的。

baohe - 2010-1-3 14:57:00

引用:

原帖由 产品加固 于 2010-1-3 13:49:00 发表
[quote] 原帖由 baohe 于 2010-1-3 13:26:00 发表
[quote]

请教 baohe ：

在仅安装了 Rav/RIS 2010 + 卡卡反病毒系统并已联机升级的视窗 xp 上运行该样本结果如何？

然后关闭 Rav/RIS 2010 所有防御及监控，甚至 Rav/RIS 2010 的核心防护组件也被关闭了，再运行样本结果如何？

这个破东西被某厂家炒的神乎其神:kaka6:

玩儿死它的办法不止一种（注意：那组策略不是专门针对这个病毒的）。

看清楚了：我先把系统中的安全软件（RIS2010 和CA HIPS）全部关闭了。然后运行这个NB的家伙：

再来一招戏弄它（具体招数就不透露了）。运行环境：关闭安全软件监控，取消组策略设置；提权运行它。

直接把它和它生的那个“死孩子”扔进回收站（死得很难看）:kaka16:

天月来了 - 2010-1-3 15:02:00

我没说可疑文件哟

我是说一个标准病毒，尤其是今年流行的木马病毒，并且其文件特征是所有杀毒软件已加库的。

此情况下，单纯将那病毒文件加个数字签名，也是没用的，杀毒软件的传统文件监控一样会杀了那病毒的。

至于单纯Windows系统自身能否阻止，不是默认就能阻止的，而是要设置合理的组策略

天月来了 - 2010-1-3 15:03:00

不是用户岂不是无须安装杀毒软件

而是没哪个用户知道具体的如何设置自己的组策略

那样的设置过程远超过杀毒软件的日常应用的复杂

产品加固 - 2010-1-3 15:25:00

引用:

原帖由 baohe 于 2010-1-3 14:57:00 发表

引用:

原帖由 产品加固 于 2010-1-3 13:49:00 发表
[quote] 原帖由 baohe 于 2010-1-3 13:26:00 发表
[quote]

请教 baohe ：

在仅安装了 Rav/RIS 2010 + 卡卡反病毒系统并已联机升级的视窗 xp 上运行该样本结果如何？

然后关闭 Rav/RIS 2010 所有防御及监控，甚至 Rav/RIS 2010 的核心防护组件也被关闭了，再运行样本结果如何？

这个破东西被某厂家炒的神乎其神[img]editor/images/smilies/kaka/face14.gif[/img]

玩儿死它的办法不止一种（注意：那组策略不是专门针对这个病毒的）。

看清楚了：我先把系统中的安全软件（RIS2010 和CA HIPS）全部关闭了。然后运行这个NB的家伙：

谢谢 baohe 回复及提醒！

我们也是在贵网站置顶行看到贵帖链接并进入贵帖的，之前我们并不知道贵帖讨论的有关病毒样本的更多消息。

请教 baohe 的问题是：

在仅安装了 Rav/RIS 2010 + kaka 反病毒组件的视窗 xp 系统里，不知 baohe 能否先 “关闭 Rav/RIS 2010 所有防御及监控，甚至关闭 Rav/RIS 2010 的核心防护组件” 后再运行病毒样本？

结果病毒样本还是无法运行起来？仍被操作系统提示 “ 应用程序正常初始化失败” 或 “此程序被组策略阻止” ？不管该病毒样本是否具有可验证的数字签名。

谢谢！

baohe - 2010-1-3 15:33:00

引用:

原帖由 产品加固 于 2010-1-3 15:25:00 发表
在仅安装了 Rav/RIS 2010 + kaka 反病毒组件的视窗 xp 系统里，不知 baohe 能否先 “关闭 Rav/RIS 2010 所有防御及监控，甚至关闭 Rav/RIS 2010 的核心防护组件” 后再运行病毒样本？

结果病毒样本还是无法运行起来？仍被操作系统提示 “ 应用程序正常初始化失败” 或 “此程序被组策略阻止” ？不管该病毒样本是否具有可验证的数字签名。

在仅安装了 Rav/RIS 2010 + 卡卡反病毒系

在XP和WIN7 中、在不同的条件下都分别运行过这个毒，结果没有本质区别。具体的，看附图。

天月此前曾说此毒不能在WIN7 中运行。错误！它在WIN7 中可以运行。如果不信，天月可以自己在WIN7 下试试。

天月来了 - 2010-1-3 15:34:00

baohe已经没有现成的xp系统试给你看了

他试的是7系统:kaka6:

baohe - 2010-1-3 15:35:00

引用:

原帖由 天月来了 于 2010-1-3 15:34:00 发表
baohe已经没有现成的xp系统试给你看了

他试的是7系统:kaka6:

别搞了。

看你楼上回复。

天月来了 - 2010-1-3 15:38:00

呵呵！！

我知道7系统可以运行啦，其他地方已见有不少人在不同系统内测试过这个数字签名的东西了:kaka6:

产品加固 - 2010-1-3 15:39:00

引用:

原帖由 天月来了 于 2010-1-3 15:02:00 发表
我没说可疑文件哟

我是说一个标准病毒，尤其是今年流行的木马病毒，并且其文件特征是所有杀毒软件已加库的。

此情况下，单纯将那病毒文件加个数字签名，也是没用的，杀毒软件的传统文件监控一样会杀了那病毒的。

至于单纯Windows系统自身能否阻止，不是默认就能阻止的，而是要设置合理的组策略

.

谢谢 天月来了 回复及提醒！

原来是这样，如果病毒样本自己再额外加上个引导模块，在引导过程里再动态内存解码，这样的病毒有数字签名还会被阻止运行？特征代码的模式匹配是有前提的，病毒代码未被反病毒厂商提取并入库，查杀是困难的，查杀滞后的问题，解决颇为困难。

视窗系统并非所有版本都有相对成功的安全组策略设置，对目前仍有广大用户的 xp/2k 版本而言，能否不借助第三方安全组件实现相对安全的计算环境？结果堪虑，要不视窗厂商也不会一并发布 Defender 等安全组件或服务了。

瑞星卡卡安全论坛