震惊！他竟用这一招让杀软崩溃！-编程技术-看雪-安全社区|安全招聘|kanxue.com

震惊！他竟用这一招让杀软崩溃！

发表于: 2020-6-15 17:21 9899

震惊！他竟用这一招让杀软崩溃！

boursonjane 活跃值

2020-6-15 17:21

9899

下一篇地址

利用W版文件函数创建超深路径目录，并在目录中沿途放置病毒，以测试各大杀软的文件扫描器。

也就是说我用CopyFileW的方式可以复制文件到507深度的目录，用CreateDirectoryW创建了16367深度的目录。c:\a目录下，一共有0~507共508个病毒。

508+16368 = 16876

扫描方式均采用自定义扫描C:\a 目录

开始时内存：

扫了大概三分钟后：

然后我选择终止扫描：

可以看到都扫出来了。

某次测试中曾经出现过实时监控崩溃的弹窗。

检出项仅128个，后续的根据日志，似乎已经判定为病毒，不知为何不加进去。

360卫士和360杀毒是会一直往目录深处扫描下去的，所以内存使用会不断上升，扫描时间也较长。

扫描之前：

扫描开始十几秒后闪退，之后出现如下画面：

扫描开始数秒后直接崩溃：

腾讯扫描了几秒钟就完成了扫描，扫了131级目录，可以看出它并不会再往深处继续扫描下去。

可以看出成功扫描出了我放置的全部病毒，不过因为完成地太快，不知道它是否扫描到了一万多层目录还是说在大于508层的某层直接停止扫描了。

不过当我点击查杀历史的时候：

好像直接崩溃了。

最终也能加载出来，不过很卡：

我点了自定义查杀后窗口会黑个几十秒：

可以看出成功地扫描出了我放置的全部病毒，并且还继续深入目录进行扫描。

另外较为神奇的是，他的内存占用并没有不断上升(kscan.exe)：

之后因为扫描太久太难等了，我取消了继续扫描，选择直接处理，之后比较神奇的是日志部分：

居然威胁又变成了200个，我使用everything来看一看:

上下拉了下，果然没有virus了，都已经被删除了，看来日志部分是一个bug

下一篇地址

思路
源码
运行代码生成测试环境：
各安全软件测试(2020-6-15下载的官方包)
360安全卫士
360杀毒
火绒
瑞星杀软V17试用版
腾讯电脑管家
江民速智版V19
金山毒霸11

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2020-6-18 08:30 被boursonjane编辑，原因：增加目录

收藏・9

免费・5

支持

最新回复 (26) 1 2 ▶
iamasbcx 雪币： 3876 活跃值： (3683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 191 粉丝 8 关注私信	iamasbcx 2 楼不走寻常路 2020-6-15 19:06 0
1行雪币： 3307 活跃值： (3524) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 57 粉丝 40 关注私信	1行 1 3 楼思路清奇的震惊党 2020-6-15 19:13 0
计算机李白雪币： 61 活跃值： (291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	计算机李白 4 楼目录冗杂免杀思路 2020-6-15 19:28 0
flarejune 雪币： 688 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 5 楼做这个测试也真的是.....无聊... 以上测试都没问题,有的也是一些UI的问题,可能是文字太长了,处理渲染的时候卡顿.(现在杀软的UI一个比一个华丽...) 如果这种低级错误都无法处理好的话......真的是可以全公司的码农炒鱿鱼了. 路径问题导致无法删除,无法枚举这种手法,在WIN98时代流行吧.....现在都2020了. 而瑞星那个使用的是调试版的库,也是他妈的坑爹坑成狗了. 2020-6-15 23:32 0
xlshn 雪币： 123 活跃值： (295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	xlshn 6 楼这个BUG好改，但是改的范围会很大 2020-6-15 23:33 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 7 楼思路清奇 2020-6-16 01:43 0
MsScotch 雪币： 3190 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 8 楼试试 ESET，会有惊喜发现最后于 2020-6-16 09:59 被MsScotch编辑，原因： 2020-6-16 09:58 0
船长可乐雪币： 1448 活跃值： (579) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 1 关注私信	船长可乐 9 楼思路可行 2020-6-16 10:10 0
netwind 雪币： 10914 活跃值： (3288) 能力值： (RANK：520 ) 在线值：发帖 86 回帖 844 粉丝 26 关注私信	netwind 13 10 楼思路不错 2020-6-16 10:24 0
yimingqpa 雪币： 6552 活跃值： (4346) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 11 楼理论上是win32 api MAX_PATH的坑。 2020-6-16 10:26 0
flarejune 雪币： 688 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 12 楼 MAX_PATH = 260 是DOS/98/95系统下面的最大路径长度,也是FAT32分区的最大路径长度, 而NTFS是支持32K长度的路径的,所以说,这种"BUG"理论上只会活在2000年之前. 而需要支持长路径名的话,在原路径前面加上"\\?\ "就可以了. 瑞星杀软报告buffer长度过短.这种错误,也只会存在C语言的程序里面(不爆栈已经偷笑了),支持自动管理内存的String是不怕长路径的. 2020-6-16 10:54 1
mratlatsn 雪币： 204 活跃值： (911) 能力值： (RANK：1324 ) 在线值：发帖 33 回帖 187 粉丝 22 关注私信	mratlatsn 10 13 楼有栈溢出的话是不是能通过构造路径来劫持eip/rip了呢？有stack cookie+ASLR+DEP的情况下仅仅一个栈溢出应该是不行，所以就让它崩溃吧 2020-6-16 15:11 0
看穿了说不得雪币： 131 活跃值： (30) 能力值： (RANK：0 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	看穿了说不得 14 楼这就是典型的邪门歪招. 2020-6-17 13:01 0
nevinhappy 雪币： 5194 活跃值： (9722) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 15 楼我曾经一招把CPU都搞死了！ 2020-6-17 13:07 0
boursonjane 雪币： 2345 活跃值： (3064) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 183 粉丝 13 关注私信	boursonjane 16 楼 nevinhappy 我曾经一招把CPU都搞死了！你也可以去发个帖子： “震惊！男子竟然对CPU做出这种事” 2020-6-17 13:15 0
逻辑错误雪币： 3725 活跃值： (619) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 155 粉丝 5 关注私信	逻辑错误 1 17 楼捅个马蜂窝, 然后溜了溜了... 2020-6-17 13:59 0
wuxiwudi 雪币： 918 活跃值： (1900) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 18 楼嗨,这当时做的测试覆盖了深度,长度,异常字符串(比如阿拉伯文),360的基本上不会在这方面出问题,其实你可以异常字符串,很多国产软件会有惊喜 2020-6-17 15:19 0
boursonjane 雪币： 2345 活跃值： (3064) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 183 粉丝 13 关注私信	boursonjane 19 楼 wuxiwudi 嗨,这当时做的测试覆盖了深度,长度,异常字符串(比如阿拉伯文),360的基本上不会在这方面出问题,其实你可以异常字符串,很多国产软件会有惊喜你看下一篇。 2020-6-17 15:23 0
wuxiwudi 雪币： 918 活跃值： (1900) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 20 楼 bjtwokeight 你看下一篇。看了一下应该是资源耗尽,每一个扫描线程占用过多资源 2020-6-18 12:21 0
boursonjane 雪币： 2345 活跃值： (3064) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 183 粉丝 13 关注私信	boursonjane 21 楼 wuxiwudi 看了一下应该是资源耗尽,每一个扫描线程占用过多资源是的，这深目录我一开始主要测它出问题的点是递归导致栈溢出，如果它是使用递归遍历目录而没什么特别处理的话。clamav最新版中也会溢出，在设定最大扫描深度为无限的时候。经过测试之后我发现了些额外的问题，例如实时监控崩溃(这个感觉应该是长路径问题)，还有为什么越扫越深同时越扫越慢了\|\|为什么删除深目录文件那么慢等等。 2020-6-18 12:42 0
Thead 雪币： 407 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 22 楼 bjtwokeight 是的，这深目录我一开始主要测它出问题的点是递归导致栈溢出，如果它是使用递归遍历目录而没什么特别处理的话。clamav最新版中也会溢出，在设定最大扫描深度为无限的时候。经过测试之后我发现了些额 ... 删除深目录慢应该是因为目录删除需要从最里面向外删除，目录越深，找到最下面的那一层就越慢。递归遍历容易爆栈，广度优先遍历没有递归那么快 2020-6-18 13:50 0
Mr.hack 雪币： 3322 活跃值： (3918) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 138 粉丝 25 关注私信	Mr.hack 23 楼老标题党了 2020-6-18 17:28 0
火绒实验室雪币： 608 活跃值： (6247) 能力值： ( LV5，RANK：60 ) 在线值：发帖 155 回帖 169 粉丝 131 关注私信	火绒实验室 1 24 楼火绒已于5.0.47.0版本解决该问题 2020-7-16 15:31 0
boursonjane 雪币： 2345 活跃值： (3064) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 183 粉丝 13 关注私信	boursonjane 25 楼火绒实验室火绒已于5.0.47.0版本解决该问题是不会崩了, 不过目录只扫600级啊 2020-7-16 16:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

boursonjane

发帖

183

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
iamasbcx 雪币： 3876 活跃值： (3683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 191 粉丝 8 关注私信	iamasbcx 2 楼不走寻常路 2020-6-15 19:06 0
1行雪币： 3307 活跃值： (3524) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 57 粉丝 40 关注私信	1行 1 3 楼思路清奇的震惊党 2020-6-15 19:13 0
计算机李白雪币： 61 活跃值： (291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	计算机李白 4 楼目录冗杂免杀思路 2020-6-15 19:28 0
flarejune 雪币： 688 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 5 楼做这个测试也真的是.....无聊... 以上测试都没问题,有的也是一些UI的问题,可能是文字太长了,处理渲染的时候卡顿.(现在杀软的UI一个比一个华丽...) 如果这种低级错误都无法处理好的话......真的是可以全公司的码农炒鱿鱼了. 路径问题导致无法删除,无法枚举这种手法,在WIN98时代流行吧.....现在都2020了. 而瑞星那个使用的是调试版的库,也是他妈的坑爹坑成狗了. 2020-6-15 23:32 0
xlshn 雪币： 123 活跃值： (295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	xlshn 6 楼这个BUG好改，但是改的范围会很大 2020-6-15 23:33 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 7 楼思路清奇 2020-6-16 01:43 0
MsScotch 雪币： 3190 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 8 楼试试 ESET，会有惊喜发现最后于 2020-6-16 09:59 被MsScotch编辑，原因： 2020-6-16 09:58 0
船长可乐雪币： 1448 活跃值： (579) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 1 关注私信	船长可乐 9 楼思路可行 2020-6-16 10:10 0
netwind 雪币： 10914 活跃值： (3288) 能力值： (RANK：520 ) 在线值：发帖 86 回帖 844 粉丝 26 关注私信	netwind 13 10 楼思路不错 2020-6-16 10:24 0
yimingqpa 雪币： 6552 活跃值： (4346) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 11 楼理论上是win32 api MAX_PATH的坑。 2020-6-16 10:26 0
flarejune 雪币： 688 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 12 楼 MAX_PATH = 260 是DOS/98/95系统下面的最大路径长度,也是FAT32分区的最大路径长度, 而NTFS是支持32K长度的路径的,所以说,这种"BUG"理论上只会活在2000年之前. 而需要支持长路径名的话,在原路径前面加上"\\?\ "就可以了. 瑞星杀软报告buffer长度过短.这种错误,也只会存在C语言的程序里面(不爆栈已经偷笑了),支持自动管理内存的String是不怕长路径的. 2020-6-16 10:54 1
mratlatsn 雪币： 204 活跃值： (911) 能力值： (RANK：1324 ) 在线值：发帖 33 回帖 187 粉丝 22 关注私信	mratlatsn 10 13 楼有栈溢出的话是不是能通过构造路径来劫持eip/rip了呢？有stack cookie+ASLR+DEP的情况下仅仅一个栈溢出应该是不行，所以就让它崩溃吧 2020-6-16 15:11 0
看穿了说不得雪币： 131 活跃值： (30) 能力值： (RANK：0 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	看穿了说不得 14 楼这就是典型的邪门歪招. 2020-6-17 13:01 0
nevinhappy 雪币： 5194 活跃值： (9722) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 488 粉丝 39 关注私信	nevinhappy 2 15 楼我曾经一招把CPU都搞死了！ 2020-6-17 13:07 0
boursonjane 雪币： 2345 活跃值： (3064) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 183 粉丝 13 关注私信	boursonjane 16 楼 nevinhappy 我曾经一招把CPU都搞死了！你也可以去发个帖子： “震惊！男子竟然对CPU做出这种事” 2020-6-17 13:15 0
逻辑错误雪币： 3725 活跃值： (619) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 155 粉丝 5 关注私信	逻辑错误 1 17 楼捅个马蜂窝, 然后溜了溜了... 2020-6-17 13:59 0
wuxiwudi 雪币： 918 活跃值： (1900) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 18 楼嗨,这当时做的测试覆盖了深度,长度,异常字符串(比如阿拉伯文),360的基本上不会在这方面出问题,其实你可以异常字符串,很多国产软件会有惊喜 2020-6-17 15:19 0
boursonjane 雪币： 2345 活跃值： (3064) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 183 粉丝 13 关注私信	boursonjane 19 楼 wuxiwudi 嗨,这当时做的测试覆盖了深度,长度,异常字符串(比如阿拉伯文),360的基本上不会在这方面出问题,其实你可以异常字符串,很多国产软件会有惊喜你看下一篇。 2020-6-17 15:23 0
wuxiwudi 雪币： 918 活跃值： (1900) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 20 楼 bjtwokeight 你看下一篇。看了一下应该是资源耗尽,每一个扫描线程占用过多资源 2020-6-18 12:21 0
boursonjane 雪币： 2345 活跃值： (3064) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 183 粉丝 13 关注私信	boursonjane 21 楼 wuxiwudi 看了一下应该是资源耗尽,每一个扫描线程占用过多资源是的，这深目录我一开始主要测它出问题的点是递归导致栈溢出，如果它是使用递归遍历目录而没什么特别处理的话。clamav最新版中也会溢出，在设定最大扫描深度为无限的时候。经过测试之后我发现了些额外的问题，例如实时监控崩溃(这个感觉应该是长路径问题)，还有为什么越扫越深同时越扫越慢了\|\|为什么删除深目录文件那么慢等等。 2020-6-18 12:42 0
Thead 雪币： 407 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 22 楼 bjtwokeight 是的，这深目录我一开始主要测它出问题的点是递归导致栈溢出，如果它是使用递归遍历目录而没什么特别处理的话。clamav最新版中也会溢出，在设定最大扫描深度为无限的时候。经过测试之后我发现了些额 ... 删除深目录慢应该是因为目录删除需要从最里面向外删除，目录越深，找到最下面的那一层就越慢。递归遍历容易爆栈，广度优先遍历没有递归那么快 2020-6-18 13:50 0
Mr.hack 雪币： 3322 活跃值： (3918) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 138 粉丝 25 关注私信	Mr.hack 23 楼老标题党了 2020-6-18 17:28 0
火绒实验室雪币： 608 活跃值： (6247) 能力值： ( LV5，RANK：60 ) 在线值：发帖 155 回帖 169 粉丝 131 关注私信	火绒实验室 1 24 楼火绒已于5.0.47.0版本解决该问题 2020-7-16 15:31 0
boursonjane 雪币： 2345 活跃值： (3064) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 183 粉丝 13 关注私信	boursonjane 25 楼火绒实验室火绒已于5.0.47.0版本解决该问题是不会崩了, 不过目录只扫600级啊 2020-7-16 16:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

震惊！ 他竟用这一招让杀软崩溃！

震惊！他竟用这一招让杀软崩溃！