+ 首页>>评测>>真相与数据>>内容

评测360官方提供的金山恶意驱动样本之逆向分析结果415次围观

360官方提供的金山恶意驱动样本之逆向分析结果
本文就事件本身不做任何评论,有兴趣的读者可以在微博上参与该话题讨论#金山毒霸植入恶意驱动#
我们随后下载了此网盘地址下的验证包。为了验证其是否符合360所说的拦截现象,我们对该sys驱动文件单独进行了简单的逆向分析,结果如下:

驱动入口直接使用PsSetCreateProcessNotifyRoutine

我们发现其驱动入口直接使用了PsSetCreateProcessNotifyRoutine向系统注册了一个回调函数(当系统中有进程创建的时候就会调用这个回调函数,这就是PsSetCreateProcessNotifyRoutine的作用)

回调函数中发现其确实存在拦截带有”360″字样进程的行为

360官方提供的金山恶意驱动样本之逆向分析结果

回调函数

这个函数是关键,我们一下子就能发现”猫腻之处”(因为这个sys文件基本上就做这么一件事情),可以看出,理论上只要带360字样的进程名字都会被拦截,不管这个软件是PS还是QQ还是其他什么软件,这也就解释了为什么有网友随便更改一个exe为360***.exe就会被金山拦截的原因,但是改动快捷方式是不会产生影响的。

sys文件的数字签名

对于有网友质疑的360提供的恶意样本是不是伪造的?
我们简单验证了一下该文件的数字签名:

360官方提供的金山恶意驱动样本之逆向分析结果

结语

由于笔者手头没有相关测试环境,故不敢妄自下结论,但是从上面的两条证据来看:如果360提供的恶意样本属实,那么此次金山应该快速纠正这种行为,此外,我们由衷地不希望一而再再而三地出现这种无止境的骂战,毕竟,不断完善用户体验才是你们应该做的事情。

+ 猜你喜欢...

===== 关于 DiggerPlus =====
DiggerPlus是国内新锐测试人垂直内容博客,专注于挖掘测试工具,普及测试技术,专注于测试人能力提升,博客上线后就受到广大测试人的热烈追捧;此外,DiggerPlus深度整合评测资源,揭秘科技数据和真相,让读者更懂科技,更好地把玩科技。 我们始终保持"独立,客观,严谨,优秀"的优良作风,努力为读者带来源源不断的优质内容。想访问更多酷毙的测试人网站?赶紧来DiggerPlus测试人网址导航看看吧!

===== DiggerPlus Team =====
DiggerPlus Team是DiggerPlus官方发起的团队,这是一群热爱科技,热爱测试,喜欢深度挖掘的热血测试人,他们是评测师,测试专家。 我们欢迎优秀的测试人加入DiggerPlus Team。 加入DiggerPlus,可以成为我们的认证Dper,认证Dper拥有DiggerPlus独一无二的专栏并得到个人展示。

===== DiggerPlus 官方读者群 =====
DiggerPlus官方读者群(一)

+ 关于本文作者

Python/C/C++/Javascript程序员,持续学习者,目前专注于前端开发。

的专栏 | 专栏作者 | 访问小A的主页

+ 发表评论

开源中国精彩推送

基于开源中国OpenAPI开发
  • 最新精彩评论

    • Copyright © 2014 DiggerPlus. 42 queries in 0.387 seconds.
      使用合作网站账号快速登录,更多精彩等着您: 开源中国