瑞星被360“暗杀”真相:其实瑞星是“自杀”
[font=幼圆][size=16pt]7[/size][/font][font=幼圆][size=16pt]月29 [/size][/font][font=幼圆][size=16pt]日,瑞星宣称360杀毒有意 “暗杀”了瑞星防火墙中的HookUrl.sys驱动文件。随后360发声明,宣称“不排除是瑞星故意设的圈套”[/size][/font][font=幼圆][size=16pt]。当时作为一个旁观者,我的第一判断是360杀毒刚推出,有可能真的误报了,正好被善于造势的瑞星借机拿来大做文章。但是联想到瑞星每次打口水战时,无论是对卡巴,还是对诺顿,乃至之前的金山,都会非常巧合地发生瑞星被“误杀”的事件,并被瑞星拿来大肆炒作,于是忍不住做了一些分析,结果发现这次瑞星被“误杀”真的有几个很大的疑点。需要说明的是:我对360没好感,更不是360的什么枪手,之所以发这个帖子,说到底是作为安全行业的一名老程序员,我实在不敢相信瑞星会做出这样的事情。[/size][/font][font=幼圆][size=16pt]先看看360的声明,应该说有很浓厚的自我辩解的成分,但是不能不说确有几分道理: [/size][/font]
[font=幼圆][size=16pt]“批驳谣言:这次所谓的“误杀瑞星”,有很多不合情理的反常现象,体现在:[/size][/font]
[font=幼圆][size=16pt]1[/size][/font][font=幼圆][size=16pt]、通常误报发生后,会有大量用户通过各种渠道反映问题,而这次迄今为止360连一个用户的举报都没有收到。[/size][/font]
[font=幼圆][size=16pt]2[/size][/font][font=幼圆][size=16pt]、奇虎360自己进行了测试,并没有发现瑞星说的情况。[/size][/font]
[font=幼圆][size=16pt]3[/size][/font][font=幼圆][size=16pt]、通常被误报的厂商会在第一时间打电话给误报方,以尽快解决问题,但这次奇虎方面也是看到报纸后才知道有这件事,从头至尾瑞星都没有向奇虎360通报,如果瑞星的防火墙真的被误删了,还能这样不急不慌吗?所以感觉他们只是想拿这事炒作。[/size][/font]
[font=幼圆][size=16pt]4[/size][/font][font=幼圆][size=16pt]、误报本身在杀毒行业是常见现象,从技术上来说无法完全避免,就在上周,瑞星刚刚误杀了QQ和VISTA的系统文件。通常误报发生后,误报方与被误报方都会比较低调地处理此事,因为传开了对双方的声誉都没有好处。这次瑞星说自己的防火墙被360误删了,如果是真的,只能证明瑞星防火墙连自己都保护不了,又怎么保护用户的电脑?而瑞星不但不怕家丑外扬,反而到处宣扬,实属反常,不排除是苦肉计的可能。[/size][/font]
[font=幼圆][size=16pt]5[/size][/font][font=幼圆][size=16pt]、从技术上来说,某些杀毒厂商完全可以针对竞争对手的某款产品,故意在自己的产品里放一段特征码,来造成误报。”[/size][/font]
[font=幼圆][size=16pt]下面是我发现的几个疑点,欢迎大家批驳:[/size][/font]
[font=幼圆][size=16pt]疑点一:[b]瑞星7月29日发布的[/b][/size][/font][b][font=幼圆][size=16pt]20.55.12[/size][/font][/b][b][font=幼圆][size=16pt]版本中[/size][/font][/b][b][font=幼圆][size=16pt] “[/size][/font][/b][b][font=幼圆][size=16pt]HookUrl.sys[/size][/font][/b][b][font=幼圆][size=16pt]”文件与此前版本的文件是不同的,而这个文件在此前10个月的时间内没有过任何变化。瑞星修改后就发生了被误杀的“惊人巧合”。[/size][/font][/b]
[font=幼圆][size=16pt] [/size][/font]
[font=幼圆][size=16pt]HookUrl.sys[/size][/font][font=幼圆][size=16pt]驱动文件从2007年10月份“瑞星2008”开始公测一直到2008年7月29日这10个月内, 这个HooKUrl.sys文件都一直没有什么变化。[/size][/font]
[font=幼圆][size=16pt]但是到了2008年7月29日发生了[b]惊人巧合[/b],瑞星在这一天发布的HookUrl.sys这个文件进行了一番修改(实际上是7月22日修改完毕的,在7月29日20.55.12版本中进行的更新) ,随后恰好就发生了360“误杀”这个文件的情况。[/size][/font]
[font=幼圆][size=16pt]下面是我整理的瑞星防火墙几个文件的MD5签名[/size][/font]
[font=幼圆][size=16pt]关于HookUrl.sys的签名数字签名表如下: [/size][/font]
[table=98%,#f3f3f3][tr][td=1,1,568][font=幼圆][size=16pt]瑞星07年09月30号版本
20.11.60
文件MD5值:8957529C48F118BC52318F2ABFA0E3C8[/size][/font]
[font=幼圆][size=16pt] [/size][/font]
[font=幼圆][size=16pt]瑞星08年01月10号版本
20.26.30
文件MD5值:8957529C48F118BC52318F2ABFA0E3C8[/size][/font]
[font=幼圆][size=16pt] [/size][/font]
[font=幼圆][size=16pt]瑞星08年06月18号版本
20.49.21
文件MD5值:8957529C48F118BC52318F2ABFA0E3C8[/size][/font]
[font=幼圆][size=16pt] [/size][/font]
[font=幼圆][size=16pt]瑞星08年07月15号版本
20.53.10
文件MD5值:8957529C48F118BC52318F2ABFA0E3C8[/size][/font]
[font=幼圆][size=16pt] [/size][/font]
[font=幼圆][size=16pt]瑞星08年07月22号版本
20.54.10
文件MD5值:8957529C48F118BC52318F2ABFA0E3C8[/size][/font]
[font=幼圆][size=16pt] [/size][/font]
[font=幼圆][size=16pt]瑞星08年07月29号版本
20.55.12
文件MD5值:AE55CCDA611942855133257A0A195416[/size][/font]
[font=幼圆][size=16pt] [/size][/font]
[font=幼圆][size=16pt]瑞星08年08月05号版本
20.56.00
文件MD5值:AE55CCDA611942855133257A0A195416[/size][/font]
[/td][/tr][/table]
[font=幼圆][size=16pt]
[/size][/font][font=幼圆][size=16pt]附两张图佐证:[/size][/font]
[font=幼圆][size=16pt]瑞星07年09月30号版本
20.11.60
HooKUrl.sys文件的MD5文件签名值为:[/size][/font]
[b][font=幼圆][size=16pt]
8957529C48F118BC52318F2ABFA0E3C8[/size][/font][/b]
[b][font=幼圆][size=16pt][attach]5618[/attach][/size][/font][/b]
[font=幼圆][size=16pt][font=幼圆][size=16pt]瑞星08年07月22号版本
20.54.10
HooKUrl.sys文件的MD5文件签名值为:[/size][/font]
[b][font=幼圆][size=16pt]8957529C[/size][/font][font=幼圆][size=16pt]48F[/size][/font][font=幼圆][size=16pt]118BC52318F2ABFA0E3C8[/size][/font][/b]
[attach]5619[/attach]
[font=幼圆][size=16pt]瑞星防火墙[b]08年07月29(至今)[/b]号版本 20.55.12
[/size][/font]
[font=幼圆][size=16pt]HooKUrl.sys[/size][/font][font=幼圆][size=16pt]文件的MD5文件签名值变为了:[/size][/font]
[font=幼圆][size=16pt]
[color=red]
[b]AE55CCDA611942855133257A0A195416[/b][/color][/size][/font]
[attach]5620[/attach]
[font=幼圆][size=16pt]如果想验证这些图的真伪非常的简单,去迅雷搜瑞星防火墙2008 后面跟版本号如:“瑞星防火墙2008 20.11.16”
,[/size][/font]
[font=幼圆][size=16pt]http://search.gougou.com/search?search=%E7%91%9E%E6%98%9F%E9%98%B2%E7%81%AB%E5%A2%992008%2020.11.60&id=2 [/size][/font][font=幼圆][size=16pt]这样的内容一搜一大把。[/size][/font]
[font=幼圆][size=16pt]而且HooKUrl.sys文件有数字签名,别人是无法伪造的。[/size][/font]
[attach]5621[/attach]
[font=幼圆][size=16pt]疑点二:[b]更新后的HooKUrl.sys文件内容与更新前的文件程序流程完全一致,只是变量定义的位置分布不同。而在瑞星做了这些修改后“惊人巧合”又再次出现了,瑞星这么修改后360杀毒就把“HookUrl.sys”当成了病毒。[/b][/size][/font]
[b][font=幼圆][size=16pt] [/size][/font][/b]
[b][font=幼圆][size=16pt]
[/size][/font][/b][font=幼圆][size=16pt]做过病毒“免杀”的朋友都知道,在代码中适当位置添加一些无用的变量、语句之类的,或者调整全局变量位置,都能躲过杀毒软件的查杀。[/size][/font]
[font=幼圆][size=16pt]我想我们不妨试想这样一个事情:[/size][/font]
[font=幼圆][size=16pt]
[/size][/font][font=幼圆][size=16pt]我们先把某一个驱动文件配合一个恶意程序上报到某杀毒软件厂商,厂商就会在分析后把这两个样本文件提取特征码并添加到病毒库中。然后我们再修改这个驱动文件的全局变量位置,这样这个驱动文件的特征码就被改变了,这个驱动文件可以正常使用而不会被该杀毒软件报了,也就是相当于做了一次“免杀”处理。然后我大面积发布使用,说到这里大家可能都意识到了,呵呵,没错,我当然可以随时再改回来让杀毒软件把我报出来,只要我心情好就可以随时制造“误杀”。随时可以指责他们。(当然这个文件最好能“恰好”还不至于导致用户蓝屏之类的危害,不会让用户产生更换软件的想法)。[/size][/font]
[font=幼圆][size=16pt]我们当然不能这样去想瑞星,因为我决不敢相信一个以保护用户安全为宗旨的厂商,为了陷害竞争对手会这样牺牲用户的安全 ,在用户机器上玩这么一出……所以说,我们要相信瑞星,要像相信神一样,坚定的相信这一些都只是个偶然。[/size][/font]
[font=幼圆][size=16pt]下图为对新旧[b]HooKUrl.sys[/b]反汇编后的比较,(本文后附有新旧[b]HooKUrl.sys[/b]反汇编后的c文件,你可以自己用BeyondCompare 比较以下,附件中有新旧HooKUrl.sys驱动程序,都是有数字签名,有兴趣的话可以自己研究下看看。)[/size][/font]
[attach]5622[/attach]
[b][font=幼圆][size=16pt]疑点三 新版本的HooKUrl.sys编译路径也换了位置,此前版本Hookurl.sys都是相似的。这次有了大变化。看来瑞星对HooKUrl.sys的这次还是进行了“大升级”工作(但是其功能却一模一样)。[/size][/font][/b]
[b][font=幼圆][size=16pt]
[/size][/font][/b][font=幼圆][size=16pt]
[/size][/font][font=幼圆][size=16pt]瑞星此前版本的Hookurl.sys编译路径是很规范的如:[/size][/font]
[font=幼圆][size=16pt]“C:\DistributedAotuLink\Temp\hookurl.sys_N10847Release\firewall\drivers\32\hookurl\driver\”[/size][/font]
[font=幼圆][size=16pt]这看似是一个比较规范的路径,有服务器名、产品名称、编译类型、产品类型、可执行文件类型、运行平台、可执行文件名等等。[/size][/font]
[font=幼圆][size=16pt] [/size][/font]
[font=幼圆][size=16pt]最新版本的HooKUrl.sys编译路径,成了[/size][/font]
[font=幼圆][size=16pt]C:\DistributedAotuLink\Temp\CompileOutputDir\i386[/size][/font]
[font=幼圆][size=16pt]难道瑞星最近研究发现,后者更好更规范?[/size][/font]
[font=幼圆][size=16pt]好了就说这么多了,我想明白人都应该能看清这个事件的来龙去脉了吧。[/size][/font]
[font=幼圆][size=16pt] [/size][/font]
[font=幼圆][size=16pt]附件一:包括3个瑞星HooKUrl.sys驱动文件 (有数字签名)[/size][/font]
[font=幼圆][size=16pt]附件二:2个反汇编的HooKUrl.sys 驱动C语言代码(用IDA+Hex_Rays插件).一个是瑞星08年07月15号版本
20.53.10的HookUrl-1.c,另一个是瑞星08年07月29号版本
20.55.12的HookUrl-2.c。[/size][/font]
[/size][/font]
[[i] 本帖最后由 大班长红 于 2008-8-10 12:15 编辑 [/i]] 为什么360这么喜欢炒作自己,和以前是做流氓软件有关吗? 当然了,以前是小流氓,现在是流氓鼻祖,炒作是不择手段! 作为安全行业的一名老程序员
<-------------LZ转贴的吧?
不过说作为网管。我360瑞星都不太喜欢
360杂项太多。瑞星太大。而且不好删除。。。
页:
[1]