POODLE漏洞分析

On 2014年10月16日, in 安全分析, by code_audit_labs

by Hikerell of code audit lab of vulnhunt.com
前天,翰海源团队对cve-2014-3566 poodle-attacks-on-sslv3 做了事件预警 http://blog.vulnhunt.com/index.php/2014/10/15/cve-2014-3566-poodle-attacks-on-sslv3-warning/ ,今天给大伙带来更多清晰明了的漏洞分析
一、漏洞背景
14号由Google发现的POODLE漏洞(Padding Oracle On Downloaded Legacy Encryption vulnerability),可被攻击者用来窃取采用SSL3.0版加密通信过程中的内容,又被称为“贵宾犬攻击”。虽然该攻击利用有一定的难度,需要完全控制网络流量,但在公共wifi遍地都是和强调国家之间对抗的APT背景下,该漏洞仍有不小的影响,我们的小伙伴也紧急分析了漏洞原理,poc仍在验证中,稍后放出。
二、SSLv3.0协议基础
协议协商数据
在协议握手阶段,协商的数据包括:
明文/密文分组长度:长度一般为16字节。
初始化向量IV:根据SSLv3.0协议定义的算法生成,要求随机性较高,与明文/密文分组长度相同(16字节)。
对称密钥Key:即SSLv3.0协议中定义的主密钥(the Master Secret),用于数据加密。
加密模式:常见的加密模式有多种,本漏洞本质就是SSLv3.0协议推荐的CBC加密模式可能泄露信息。
数据填充与分组
明文加密之前和密文解密之前需要分组,每个分组长度为128比特,即16字节。
对于待加密的明文数据,分组处理过程为:
(1)计算明文签名MAC(Message Authentication Code,消息验证码)序列,长度为20字节。
(2)将MAC序列附在明文数据之后组成平文(Plaintext),将Plaintext的长度填充至16字节的整数倍。
填充方式为:如果原始Plaintext长度不是16字节的整数倍,再其后附加零个、一个或多个Padding字节,再附加1个字节,其值为Padding长度;如果原始Plaintext长度正好是16字节的整数倍,则在其后附加15字节长度的Padding序列,再附加1个Padding长度,其值为15。
(3)将填充后Plaintext每16字节分为一组,称为平文块(Plaintext Block),使用符号P1 , P2 [...]

Tagged with:  

继昨天分析过CVE-2014-4114的漏洞成因:
http://blog.vulnhunt.com/index.php/2014/10/14/cve-2014-4114_sandworm-apt-windows-ole-package-inf-arbitrary-code-execution/
之后,今天翰海源团队又进一步分析了样本中携带的载荷。
1.关于UAC
我们在win7标准用户下测试发现,直接通过inf右键安装来执行会启动UAC并提示输入密码:

也就是说这种方式并不能完全ByPass UAC,不过在具有管理员权限的用户下确实可以不需要弹出UAC控制窗口,如下
在具有管理员权限的用户下选择以管理员身份运行cmd.exe:

通过INF文件右键安装启动cmd.exe

这种方式下并不会弹出UAC控制窗口,在这一点上可能还有更多的东西挖掘…

2.BlackEnergy样本分析

inf文件被安装后重命名同目录下的 slide1.gif为slide1.gif.exe 并执行。slide1.gif被修改掉了部分PE头部信息来对抗静态逆向分析,不过任然可以正常执行:

该文件实际为BlackEnergy的一个装载器,运行后将会解密并释放一个BlackEnergy模块FONTCACHE.DAT到Application Data目录
,该模块经过分析发现为最新的BlackEnergy3变种,释放后通过调用rundll32调用模块的导出函数MakeCache执行。

“BlackEnergy流通在俄罗斯的地下网络,最早能够追溯到2007年”,F-Secure最近报告指出名为“Quedagh”的组织正在使用BlackEnergy发起一系列
针对乌克兰政府的攻击,而此次0day所使用的恶意样本同样的可能来自该组织。
在CVE-2014-4114中的使用的BlackEnergy为该家族最新变种,该变种通过rundll32.exe启动执行,并将以一个lnk文件做为启动脚本写入到系统启动文件夹,
文件名基于卷序列号生成。

这个dll的代码首先申请一块内存,以0×70000000h开始,并写入解密自身的代码

解密代码重新写入0×10000000h的内存,之后才是dll的真正代码

DLL得到执行后创建名为{CD56173D-1A7D-4E99-8109-A71BB04263DF}的互斥体,然后开启一个独立线程实现恶意程序的主要的功能,主线程根据系统当前时间创建一个窗口并等待子线程发送窗口消息。
该变种会通过创建一个RPC远程过程调用(RPC over the named-pipe protocol)实现模块的通信。

子线程在内存中解密C&C并通过HTTP POST请求来通信,POST数据格式如下:

id=[BotID]&bid=ER&getpd=***

支持以下类型指令:

delete:卸载
ldplg:加载插件
unplg:卸载插件
update:更新主程序
dexec:下载并执行
exec:下载并执行
updcfg:更新插件

在内存中解密后的C&C如下:

该C&C的地理位置:

目前该C&C已经失效,但是我们注意到C&C目录经过base64编码,解码后字符串为”houseatreides94“。
我们猜测这里的House Atreides可能来源美国作家Brian Herbert所著科幻小说《Dune: House Atreides》,
其中Dune是“沙丘”的意思,也许这点正好与ISiGHT所描述的Sandworm Team所吻合。

3.安全建议
使用win7及之后系统的用户应尽量选择windows标准用户作为主要系统帐户。
4.安全排查

a. 检查系统AppData目录是否存在名为FONTCACHE.DAT的未知文件
b. 检查网络流量中是否出现上述列举的C&C请求。
5.参考资料
https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf
http://www.isightpartners.com/2014/10/cve-2014-4114/
http://en.wikipedia.org/wiki/Dune:_House_Atreides

Tagged with:  

CVE-2014-3566 POODLE attacks on SSLv3 预警

On 2014年10月15日, in 安全公告, by code_audit_labs

如上篇blog说到sslv3 大杀器漏洞守约来临,影响众多使用sslv3协议的站点。该漏洞由google最先发现 ,该漏洞可以被攻击者用来窃取采用了sslv3加密通信过程中的内容。
SSLV3是传输层安全协议TLS,在1996年投入使用,被许多网站、邮件服务器等其他应用服务用来做安全传输。
该漏洞可以被用来中间人攻击使用,触发条件是通信两端均使用SSLV3进行安全传输。利用场景有控制javascript执行或者wirf的控制权限,用来窃取受害者的cookie信息
具体的漏洞细节见https://www.imperialviolet.org/2014/10/14/poodle.html

处置建议

所有支持SSLV3协议的软件都受这个漏洞影响,可以通过如下的工具来检查是否支持sslv3协议
http://sourceforge.net/projects/sslscan/
https://www.ssllabs.com/ssltest/analyze.html?d=boc.com&ignoreMismatch=on
在线检测页面 https://sslv3.dshield.org:444/index.html

若受影响,对于系统管理员 可以配置服务器暂时不支持sslv3协议,可以参见这里进行配置
https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.3.pdf
apache、ngnix 禁用sslv3
https://wiki.mozilla.org/Security/Server_Side_TLS
普通用于可以暂时配置浏览器停用SSLV3协议,具体可以参见
http://blog.yjl.im/2013/12/disabling-tlsssl-rc4-in-firefox-and.html

SNORT 检测规则

alert tcp $HOME_NET 443 -> any any (msg:”FOX-SRT – SSLv3 Server Hello Detected (Poodle)”; flow:established,to_client; [...]

Tagged with:  

SANDWORM APT Windows OLE PACKAGE 0day来袭

On 2014年10月14日, in 安全公告, by code_audit_labs

版本更新:
v1.0 2014/10/14 22:01 发布第一版
v1.1 2014/10/14 22:48 增加漏洞细节
v1.2 2014/10/15 08:50 增加了攻击演示视频
v1.3 2014/10/15 14:05 增加细节
v1.4 2014/10/15 15:50 修正个小错误

简介

下午就听说马上要发生大事了,而且是2件大事凑在了一块,令不少安全响应的朋友吓一跳,一个是据说明天发布的windows上面的sslv3出现问题比上次的心脏出血漏洞还要严重,明天各位小伙伴们可能要继续应急了。
SSLV3漏洞相关
第二个是明天发布补丁的windows 所有平台都可以触发的 OLE包管理INF 任意代码执行漏洞,CVE-2014-4114。该漏洞影响win vista,win7等以上操作系统,利用微软文档就可以触发该漏洞,而且该漏洞为逻辑漏洞,
很容易利用成功。当前样本已经扩散且容易改造被黑客二次利用。预计微软补丁今晚凌晨才能出来,翰海源提醒用户在此期间注意不要打开陌生人发送的office文档。

事件信息

该漏洞最先是从iSIGHT Partners厂商发布的公告上宣称发现了新的0day用于俄罗斯用在搞北约的APT攻击中,并命名SandWorm。
iSIGHT [...]

Tagged with:  

漏洞验证
执行如下命令
env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test”
如果输出如下则表明系统受影响。
vulnerable
this is a test
升级最新补丁后,执行如下命令:
env X=’() { (a)=>\’ bash -c “echo echo vuln”; [[ [...]

Tagged with:  

Defencetalk.com in watering hole attack

On 2014年09月15日, in 安全公告, 安全分析, by code_audit_labs

1. 概述
近期翰海源团队捕获到一起利用CVE-2014-0515的Flash挂马的“水坑”(watering hole)攻击事件,被挂马的网站为一国外著名军事资讯网站(www.defencetalk.com),从被挂马网站性质来看,攻击者的主要目标可能是对军事感兴趣经常上该网站的人。与常见的水坑攻击手法相同,攻击者通过将一段iframe植入该网站并使其加载一个包含漏洞利用代码的flash文件,漏洞利用成功后将会从另个一个站点下载执行伪装成php文件的恶意程序。
翰海源团队正在积极的联系Defencetalk.com的负责人,目前未得到反馈。
2. 技术分析
2.1 攻击过程概要
攻击者通过Flash挂马进行攻击,flash挂马地址为:hxxp://pomdoll.com/bbs/ips.dat,漏洞利用成功后会从hxxp://kaltravel.com/bbs/image/memos.php下载执行恶意程序,memos.php又会从hxxp://www.inewstime24.com/images/logo/default.jpg下载执行恶意程序。
2.2 漏洞利用
漏洞是由于Adobe Flash Player内部在处理Pixel Bender数据时出现的问题,具体漏洞分析参考该文章:http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Technical-Analysis-of-CVE-2014-0515-Adobe-Flash-Player-Exploit/ba-p/6482744#.VBG8zfmSyKQ

2.3 恶意程序
memos.php伪装成Intel显卡程序,并带有一个无效的数字签名。

该程序由MFC编写,编译日期为2014-07-18,程序运行后会动态解密保存在EXE文件文件中一段payload,并将控制权交给这段payload。加密的payload偏移地址位于PE头偏移0xF0的位置。

程序运行后通过动态解密payload,并调用VirtualProtect修改为可执行属性,转跳执行该段payload。该payload实际由两部分组成:shellcode和一段加密的PE文件。该shellcode利用劫持进程创建注入,创建一个挂起进程,然后将这段解密的PE注入,最后ResumeThread恢复执行。

2.4 注入代码分析
从恶意程序运行到开始执行恶意代码的这段过程没有释放任何文件,所有的操作均在内存中动态完成,目前很多的恶意程序均通过这种方式来绕过杀软的检测。
注入代码执行后会创建一个名为 Global\{A4639D29-774E-22D3-A490-00C04F6843FB} 的互斥体来标记感染主机。同时,程序中的所有字符串信息均进行了加密处理。

2.5 检测安全或调试分析软件
1) 检测调试分析软件
恶意程序会检测当前环境中是否存在以下进程,检测到后则退出不执行任何操作:。
apimonitor-x86.exe、procexp.exe、wireshark.exe、peid.exe、vmtoolsd.exe、procmon.exe、regmon.exe
如果未检测到,则开启网络行为,随机选择下面进程名中的一个并将自身拷贝到临时目录,添加开机自启动。
csrss.exe、dwm.exe、explorer.exe、iexplore.exe、lsm.exe、lsass.exe、schedsvc.exe、services.exe、smss.exe、svchost.exe、spoolsv.exe、wininit.exe、winlogon.exe、taskmgr.exe、alg.exe、sysrep.exe
2)检测安全软件
恶意程序同时会检测韩国安全软件安博士的V3Lite.exe是否存在,如果存在则尝试将其关闭。

2.6 网络通信
恶意程序运行后会通过HTTP POST发送获取的信息:

发送数据的格式为: ved=1e0f6fc1f3510003&ei=base64encode(主机名 )&usg=basement4encode(用户名)
恶意程序会接收服务端的控制指令,执行以下操作:
1)command-1:调用cmd执行指定程序
2)command-2:根据URL下载文件到Temp
3)command-3:根据URL下载并执行文件
4)command-4:下载并替换系统DLL
5)command-6:清除开机注册表启动项
6)command-7:FTP上传文件

2.7 恶意程序default.jpg动态行为效果
可以访问文件B超系统查看:
https://b-chao.com/index.php/Index/show_detail/Sha1/EBB385E1AED0F633E324DFF9B6915D41F92776EF

3. 相关C&C或恶意URL
存在攻击者黑掉正常网站用于C&C的可能:
1)http://kaltravel.com/bbs/image/memos.php
2)http://www.inewstime24.com/images/logo/default.jpg
3)http://silverlight.eu5.org/zb/bbs/user/
4)http://study.lifeonet.com/rgboard/main/
5)http://sisen.kr/asapro/common/
6)http://www.duckjin.net/Anyadmin/board/etc_board/guin_list_ok.php
7)http://www.seiwooeng.com/gallery/right_menu.php
8)http://www.webtle.net/common/lang/in.lang.php
域名信息:

pomdoll.com域名注册信息

4. 恶意文件信息
1) 挂马flash文件ips.dat
MD5: 837E56890A06F7F7A11A58441EB3D508
2) default.jpd
MD5: [...]

Tagged with:  

利用漏洞攻击来盗号游戏、IM账号猖獗
-关于CK Exploit Kit简单分析
编号:VSR-2014-24
概述
2013年9月份翰海源团队捕获到一次通过CK Exploit Kit生成的挂马页面进行的攻击。具体技术细节分见:
http://blog.vulnhunt.com/index.php/2013/09/16/xiaomaolv_come_back_cve-2013-0422/
在之后的将近一年内,CK Exploit Kit在国内的出现似乎成一个不断上升的趋势,我们分别在2014年3月和8月份,捕获到多次利用CK Exploit Kit进行挂马攻击的事件,同其他Exploit Kit一样,CK利用最新或者较新的IE、Flash、java的漏洞进行攻击,攻击者将攻击代码植入一些社区、网游、色情、赌博等网站,诱骗用户访问。这些攻击代码往往经过大量的混淆或者加密处理来绕过传统杀毒软件的检测。安全意识薄弱的普通用户,不及时更新系统和软件补丁,十分容易就沦陷为攻击者手中的“肉鸡”。
趋势
截止目前,被翰海源团队发现的利用CK Exploit Kit挂马的站点有11个(有些站点影响很广),攻击样本共7个,利用到的漏洞共有9个,相关特马100多个。下图为CK Exploit Kit在2014年出现的攻击趋势:

关于CK Exploit Kit
关于CK Exploit Kit,此前在国外已经有不少关于CK Exploit Kit的技术分析:
http://www.kahusecurity.com/2012/new-chinese-exploit-pack
http://www.cysecta.com/tag/ck-vip
从相关分析来看,CK Exploit Kit也称作NB Exploiter ,其在2010年4月发布了第一个版本,由于在样本中字符串“CKWM”和“JSCKVIP” 出现频率较高,一般被称为CK Exploit Kit。
2013年CK Exploit Kit
2013年捕获的CK样本主要使用以下几个漏洞

攻击代码架构如下

其中的html页面均通过jsckvip进行混淆,部分漏洞触发页面通过独立js文件获取变量。

2014年CK Exploit Kit
2014年,我们发现CK Exploit Kit一直在持续的更新,最近捕获的CK样本中新增了部分较新的漏洞利用代码,主要包括:

攻击代码架构更新如下

攻击代码中除了包含jsckvip的混淆外还加入另一种名为caihong vip的js混淆代码:

其中ck.swf使用了最近爆出的CVE-2014-0502漏洞,主要针对使用flash版本在11.6到12.44之间的ie浏览器用户:

xor解码shellcode后下载指定的恶意程序并执行。
ww.doc为java CVE-2011-3544的exploit程序。

木马的下载链接通过名为“dota”的变量传递给Binary.class

盗号木马针对的游戏和IM
从几次捕获的木马程序来看,CK Exploit Kit目前主要被用来盗取网游、QQ等帐户和密码,主要针对包括以下软件在内的20多款主流软件:

给游戏和IM厂家的建议
利用漏洞攻击来盗号游戏、IM账号猖獗,为保护广大用户的安全,游戏厂家和IM厂家需要特别关注此类攻击事件。同时,翰海源团队也会和 游戏厂家、IM厂家共享那些相关的威胁信息,以自家邮件地址联系  support@vulnhunt.com ,目前免费加入到这一计划中。
目前翰海源团队还和一些游戏厂家共同处置了一些真正的APT攻击事件(游戏源代码失窃事件等)。游戏厂家目前成为APT的新战场,应该考虑采用一些能够检测新型威胁(APT攻击)的技术和产品了。PS: 有任何的未知威胁或者攻击事件可先使用文件B超检测下 https://b-chao.com/ ,还可以联系 support@vulnhunt.com 和 400-086-9086 电话进行咨询和协助。
EOF

Tagged with:  

昨天是微软的“补丁星期二”(美国时间),微软照例更新了7月份的安全补丁,此更新包含IE中一个公开披露的漏洞和 25 个秘密报告的漏洞。值得关注的是,由翰海源安全专家发现的公告号为“CVE-2014-4067”的漏洞较为严重,影响到全球所有IE10及IE11等。微软安全团队再度对翰海源报告此漏洞表示感谢。
该“CVE-2014-4067” 之所以被定义为高危级别,是因为此漏洞为缓冲区溢出漏洞,成功利用该漏洞,攻击者可以远程在用户电脑上执行任意代码。
攻击者可利用此漏洞在网站上挂马,大范围传播木马,威胁用户个人隐私和财产安全,或定向攻击企业用户,盗取商业机密。
由于影响面甚广,微软修复此漏洞花了大约6个月的时间。微软安全团队在漏洞公告中对翰海源安全专家的这一发现表达了谢意。这是继翰海源安全专家四次独立发现Windows漏洞而获微软公开致谢之后,又一次受到微软这个国际软件巨头的致谢。在致谢邮件中,微软安全团队重现并确认翰海源截获的“Internet Explorer 内存损坏漏洞” (CVE-2014-4067) ,并对翰海源安全专家报告相关信息表示感谢。
附微软感谢翰海源安全专家页面链接及截图
https://technet.microsoft.com/zh-CN/library/security/ms14-051.aspx

关于南京翰海源
翰海源,作为新一代网络威胁预警领跑者,一直致力于国内网络安全事业,并与微软,HP等多家国际软件巨头展开深入的合作,是微软在中国的唯一的安全开发过程合作厂商。
附翰海源安全团队漏洞报告列表

Published: August 12, 2014
Wei Wang of VulnHunt for reporting the Internet Explorer Memory Corruption Vulnerability (CVE-2014-4067)

Published: February [...]

Tagged with:  

近日,一款名为“XX神器”蠕虫爆发,同时被人上传到文件B超上https://www.b-chao.com/index.php/Index/show_detail/Sha1/63B7D9466EB0848147F3412F17C6B6728686949F 文件B超可自动识别出该APP具有恶意行为, 该木马使用短信向所有联系人发送恶意链接进行传播,试图盗取淘宝短信等。翰海源android研究团队向android用户发生告警,小心其短信信息,不明来历的APK是不能随便安装的。 在您不确认是否该APK安全的话,请丢到文件B超上分析下 https://b-chao.com ,同时可以安装腾讯手机管家进行完美查杀http://weibo.com/2273198724/BgpOZ72Cc?mod=weibotime 。
翰海源研究人员对该蠕虫事件进行了有限资源的深度分析,发现蠕虫木马的作者为一大学生,一开始的编写木马是准备监控其女朋友,其7月27号的xxshenqi.apk的版本还是没有传播功能的。不知道为什么原因通过网络上学习了病毒的传播技术,在7月28的版本加上了利用通讯录进行短信传播

最后导致不小范围的传播和中招(由于1 通过通讯录短信社交的方式传播,2 人们的安全意识还是不强,会点击安装连接的APK软件),导致传播的很快。但由于很多恶意功能(上传通讯录,短信等)都是由攻击者的手机短信控制触发的,真正遭受信息泄露的(上传通讯录和短信等)很少,大概分布如下

经过分析发现,上面的泄露信息的人员基本上都是编写者的同学和测试好友(湖南)。
由于中招后是向攻击者发送短信的,目前真正中招人数没有办法评估,建议安装手机管家进行全方位的查杀防止攻击进一步扩散。经过分析,我们有理由相信这是一个恶作剧式的玩笑,蠕虫作者也可能意识到了严重性,已经修改了信箱密码来防止信息进一步泄露。请千万不要拿自己的前途和命运开玩笑。
以下是一些简单技术分析,如有错误,还请斧正。
一. 概述
1.1 样本信息

XXshenqi.apk                               [...]

Tagged with:  

翰海源安全大师在线服务平台正式发布

On 2014年07月1日, in 新闻, by wenbin

古有,神话里天兵天将,天庭护众神万福平安,
今有,翰海源安全大师,云端保众生网络安全!
翰海源,新一代网络威胁预警领跑者,今天正式发布了“安全大师在线服务平台”: http://www.secmaster.net/。
安全大师是一个免费(增值)的对已知/未知病毒,蠕虫,木马和各种恶意软件分析,并可对恶意文档进行影响范围分析的服务平台。 可为手机应用APK程序、文档,PC程序等文件,提供最全面的威胁检测分析报告,并可通过我们为您提供的API调用接口, 可视化的形式发现潜在风险。对于企业IT管理者、移动应用下载站、安全行业主管单位,我们会提供相应的服务和接口。
接下来我们且看翰海源的安全大师究竟有何能耐,为大家网络安全保驾护航。
在线安全大师之过人之处
市面上的安全服务平台众多,我们的翰海源安全服务大师过人之处在于:

全面威胁检测分析报告: 安全大师在线服务(平台)为手机应用程序、PC应用程序,文档等文件,提供最全面的威胁检测分析报告。

API调用接口:在此基础上,通过我们为您提供的API调用接口,您也能够以可视化图形的形式,发现潜在风险。

定制服务: 在企业级应用上,对于企业IT管理者、移动应用下载站、安全行业主管单位,我们会提供相应的定制服务

安全大师绝技之:移动安全-APK检测
“大师,大事不妙,俺的手机被莫名其妙地扣费1000多,这个月的伙食费泡汤了”,
小白, 一位Android手机发烧友,也是这个领域的技术高手,他经常在论坛里看到用户抱怨被扣了费,他起初一直以为是小白用户一直开着网络流量开关产生的流量费,直到他最近发现自己的话费账单上也出现了五十多块钱的增值业务费。他的话费详单显示,这些增值业务费以SP代收费的方式,每次2元,扣了他几百次。
他仔细排查后发现,问题出在他安装的一款名为《骷髅卫兵塔防之战》 (Tower Master)汉化版的游戏身上。这款通过短信的方式扣掉了他一千多元的话费,尽管他是一个这方面的技术高手,尽管运营商有短信增值业务收费前三次确认,而他却浑然不知。这款游戏在安装时Android系统提示需要用短信权限,他和绝大多数的Android用户一样,直接点了下一步“安装”,几乎没有人会去留意这个程序安装时的系统提示。而这些发现自己话费被悄悄扣掉用户,可能只是极小的比例,大多数Android手机用户是“沉默的大多数”,他们完全不知道自己被扣掉了话费。
翰海源推出的云端安全服务平台,不仅能对某些APK的恶意吸费进行检测,同时也能对病毒检测,强制推广,欺诈行为,敏感信息收集,安全漏洞检测。
下图为安全大师对某恶意APK的分析报告。

安全大师绝技之:  PC安全-文件检测
“大师,我的电脑为何装了最新的杀毒软件,还是中招了? ”
“大师,这么多杀毒软件,我到底要装哪一种?”
“大师,我自认是一个技术发烧友,我怎么能看到病毒样本的动态行为和进程列表?”
“大师,我的杀毒软件是不是支持各种文件格式?”
小白,一位电脑发烧友,平时喜欢捣鼓电脑,已经在电脑上安装了最新的杀毒软件和病毒升级包,以为自己的电脑不再裸奔,放心大胆得开始传各种文件起来。
某天,小白的电脑突然变得极慢,而且频繁死机,登录的网络游戏时候也发现与上次下线时的位置不同了。小白意识到: 自己中招了。
在PC文件检测方面,与市面上的杀毒软件不同,翰海源安全大师凭借着以下优势完全可以避免以上案例的发生:

支持多种文件格式的样本在系统中进行检测,目前支持的格式已经包含有:exe,doc,xls,pdf,ppt,class,dll,rtf,bat,jar,chm,swf。

与此同时,除了包含自身研发的0day检测引擎,还与多个杀毒软件供应商达成合作关系,集成了多个杀毒软件。

对于文档类的样本,有着多重、精确的恶意识别和鉴别引擎,可快速发现和定位恶意的文档行为。

安全大师绝技之: PC安全-漏洞验证
翰海源安全大师在漏洞验证上面也快人一步:

支持常见操作系统和软件组合

测试环境支持包括Windows Xp、Windows 7和Adobe、Office的多种组合

0Day漏洞样本验证

漏洞验证提供了领跑技术前沿的0day检测功能,为样本检测的质量提供了保障

直观展示漏洞触发与利用的受影响系统环境

以二维图表的形式直观的表现出该样本在哪种系统与软件的组合中触发或利用了漏洞

漏洞成功利用后可展示危害的行为

漏洞验证除了可检测出触发或利用的危害,还可以展示样本具体的危害行为,并为后续的处置提供参考信息。
让安全大师听你差遣
翰海源安全大师如此神通广大,如何让他听你差遣:
1 在线提交样本:普通用户通过在线上传的方式提交检测软件,在页面中查看分析结果。检测页面链接地址:http://www.b-chao.com
2 API接口:主要对于有大量样本需要进行检测的企业用户,我们提供了API接口方式,允许在企业应用中调用在线检测服务器来检测软件。