标题: [转帖]构造特殊文件名绕过多个反病毒引擎 [打印本页]

---

作者: 千與千尋    时间: 2006-1-20 12:22     标题: [转帖]构造特殊文件名绕过多个反病毒引擎

创建时间：2005-12-05 更新时间：2005-12-05
文章属性：原创
文章提交：root (webmaster_at_xfocus.org)
类别: 设计错误
威胁程度：中
BUGTRAQ ID: 15423
受影响的反病毒引擎:
   
    Kaspersky Antivirus
    Symantec AntiVirus
    F-Prot Antivirus
    ClamWin Antivirus
    Avast Antivirus
    RAV AntiVirus
    Microsoft AntiSpyware
   
经测试版本:
    Symantec AntiVirus Corporate 8.0
    Kaspersky Antivirus Personal Pro 4.5.0.104
    Kaspersky Antivirus For MS NTServer 4.5.0.104
    F-Prot Antivirus 3.16c
    ClamWin Antivirus 0.87
    Avast.Professional.Edition.v4.6.603
    RAV.AntiVirus.Desktop.v8.6
    Microsoft AntiSpyware beta1


1.问题描述：
   Windows 系统可使用多种特殊符号作为文件名，一些反病毒引擎无法正常解析特殊构造文件名，从而对文件操作失败。
2.技术描述：
  
   测试方法：
   
   选择一个可被检测的文件，比如nc.exe,对文件进行重命名为：nc??.exe。(?? =hex C0 D7 BA DC)
   
   然后使用反病毒软件进行扫描。
   
   因为这些特殊的名字无法直接输入，那么如果想使用修改后的文件(nc??.exe)，可以采用如下方法：
   
   [ROOT@D:\Vul\bugtrap]#dir /x
   
   1998-01-03  14:37            59,392 NC294E~1.EXE nc??.exe
   [ROOT@D:\Vul\bugtrap]#NC294E~1.EXE -help
   [v1.10 NT]
   connect to somewhere:   nc [-options] hostname port [ports] ...
   listen for inbound:     nc -l -p port [options] [hostname] [port]
   options:
   
   使用MS-DOS文件名，可以对文件进行打开、读取、写入和复制等操作。
   
   
   事实上多数厂家在对此类问题处理上均有一些问题：比如Kaspersky在右键点击的此类文件时弹出菜单无扫描选项，Symantec AntiVirus Corporate V10.0.1.1000 可以检测但无法清除。AVG Anti-Virus 正常路径扫描可以通过，但点击扫描选项后却无法读文件。


来源：安全焦点

---

作者: shunner    时间: 2006-1-20 12:53     标题: [转帖]构造特殊文件名绕过多个反病毒引擎

经典！学习！

---

欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/)

Powered by Discuz! 7.2