首页
社区
课程
招聘
问个进程过滤问题
发表于: 2010-6-23 16:43 5473

问个进程过滤问题

2010-6-23 16:43
5473
我正在做进程拦截过滤,现在就是不知道用什么过滤算法好,本来想用数字签名来过滤的,但是如果每个进程创建都用数字签名校验,那么会严重影响到系统性能。有么有什么好点的过滤算法思路啊?
用木马的特征码来过滤,对于我这种小工程又太庞大了。哪位前辈或者高人指点下,我需要一种比较容易实现而且性能比较好的过滤方法。过滤强度不必太大,至少常规系统程序和正规常见的软件不会拦截就可以了。
我还想到个思路就是,做个系统程序和常规软件的hash表来过滤,就是不知道用什么来计算hash呢?用名字的话,没什么用额......,有没有什么好的特征来计算,至少病毒或木马不易伪造。
高人前辈牛人速速来!................... 先谢谢了!~~~~~

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 160
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
MD5
Ring3-Ring0通讯(个人看法,方便)
我也写过类似的玩意
2010-6-24 00:04
0
雪    币: 67
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
MD5 hash匹配,挺好的,,,就是应用程序更新后,hash也要更新~~~维护hash表挺麻烦。。。
2010-6-24 09:24
0
雪    币: 59
活跃值: (41)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
谢谢各位的意见 MD5还不错,放用户层做MD5计算通信的话,延迟会比较大吧?
2010-6-24 11:51
0
雪    币: 612
活跃值: (996)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
可以判断文件大小再计算MD5,如果文件太大,就放过不计算MD5,不然太过费时了~
2010-6-24 12:27
0
雪    币: 522
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
如果只是为了区分开系统文件 完全可以自己判断ms签名  ^-^
2010-6-24 12:51
0
雪    币: 59
活跃值: (41)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
ms并不是所有它带的程序都签名额,像记事本,用ms的签名校验都报没有签名。
2010-6-24 18:46
0
游客
登录 | 注册 方可回帖
返回
//