在行进时,也时时有人退伍,有人落荒,有人颓唐,有人叛变,然而只要无碍于进行,则越到后来,这队伍也就越成为纯粹、精锐的队伍了。
0x00 写在前面的话
在如今的网络时代,计算机安全俨然成为了人人关心的对象。免费杀毒软件360可谓是将计算机安全做到了顶尖的水平(当然它也免不了一些流氓功能,这里就不吐槽了),成为当今中国的第一免费杀毒软件。
对于360而言,其中最出色的一点,就是他的主动防御系统,可以说它在免费杀软领域中敢称第二,没人敢称第一(至于收费的杀软,比如安天,江明等企业级别的这里就不多说了)。
个人建议,如果360能够稍微不再那么流氓,多学学别人火绒的话,一些“坏名声”恐怕就要会少很多(毕竟360还是要盈利的,(#^.^#))
0x01 环境准备
测试环境: Windows 7 企业版(干净)
工具:火绒剑独立版(CRC:3760D944)
测试对象:360安全卫士
0x02 过滤路径
点击打开火绒剑后,选择过滤-进程过滤-路径
点击添加路径,由于大多数用户安装360时会默认安装到C盘,这里我更改了360的安装路径,选择为C:\Security\360Safe
0x03 思考分析
由于这里我们只添加了进程路径的过滤,所以当你开启监控行为时,会截下很多信息,不便于分析。所以在这里要稍微想一想。
模拟一下行为:
用户正常点开360安全卫士,手动添加受信任文件
360接收到反馈,将受信任的文件路径加密保存到某个位置
360的受信任文件的名单一定是添加到本地的,因为在断网时,添加文件到已信任区
,受信任文件依旧有效,所以暂时排除360会主动收集并上传此类名单(不代表正常联网时不上传该文件)。
分析后,我们过滤的行为已经基本确认是文件操作行为,所以勾选文件行为即可
0x04 过滤行为并确定路径
动作过滤选择:FILE_write
FILE_read
FILE_open
FILE_touch
点击确定后,开启监控,并手动添加文件到已信任区
PS:建议在弹出添加文件的窗口时再开启监控,避免截断的信息过多,不方便观察
添加后,文件行为已经被火绒剑拦截到,而从这里可以看到
这里出现了两个文件的写入,动脑子想想,360是不可能用两个文件来存储受信任文件名单的,所以你就分别过滤这个目录,自己动手试试就清楚了
经过一番尝试,我确定了受信任文件的路径, C:\Security\360Safe\deepscan\speedmem2.hg-journal
0x05 确认文件并实现添加已信任文件
打开此目录后,发现deepscan
下会有个文件 speedmem2.hg
经过比较确认后,这是360将 speedmem2.hg-journal
改名为 speedmem2.hg
为了方便操作,我首先备份 speedmem2.hg
文件并使用360的文件粉碎机,粉碎 speedmem2.hg
文件,
粉碎之后,再次打开360木马查杀-已信任区
发现,已信任区的文件目录已经被清空,而360在其目录下新建一个 speedmem2.hg
文件,为了验证360是会主动读取该加密文件,我们再次将该文件删除,并将我备份的文件重新复制到该目录
注意,由于360目录的访问权限是最高级别的,如果你需要更改文件,需要暂时将360的自我保护功能和360的主动防御关闭
PS:如果你对如何关闭360自我保护功能感兴趣的话,你可以将360的主动防御关闭后,自己手动调试360,这里只是提及到不做深入了解
关闭后,彻底退出360,此时deepscan
目录才能进行读写,接着将我们备份的文件复制进去,完全启动360后看一下效果
可以看到,我们已经成功实现了添加受信任文件,并且该文件只要目录和文件crc不发生变化,360是一直会信任的。
0x06 后记
本篇只是简单的阐述了360将已信任的文件记录保存在了那里,并没有对保存文件的加密算法进行研究分析。当然,我相信有其他的大佬早就分析出来了,毕竟我是个业余人员
最后感谢各位能够读到最后,祝你们好运
更多推荐
攻防对抗:如何巧妙复现360添加受信任文件
发布评论