-
-
[旧帖] [原创][下载]最近竞赛团队开发的一个反病毒软件,大家可以测试下。为了方便大家交流,贴上程序与源码~~~ 0.00雪花
-
2012-8-26 18:07
-
晒出来跟大家分享下。。
。。本人还是菜鸟,多多指教.......软件名:《基于行为策略的主动防御系统》
本软件暂只支持win xp或以下操作系统版本。。。测试时,因为涉及到ring 0层,所以最好在虚拟机下测试。欢迎各位对软件提出意见。
————————————————————————————华丽分割线————————————————————————————————
废话少说,进入话题!
对于反病毒策略,我们的设计思路其实比较简单,即从文件的进程行为出发来识别病毒,说白了,就是类似启发式防毒,所以不依靠特征码。
先看看设计架构:
下面说说设计思路,从底往上。
驱动层Hook:你看这个家伙,黑黑的一个憨汉,上面都压着它,说明它是“垫底”的。
不过呢,没有它上面都垮台。所以驱动层hook是系统的基础,它通过修改SSDT表的函数地址对常用的Windows函数及API进行HOOK,为上层提供监控信息,包括进程调用的api函数,目标路径,修改的注册表键值等。行为策略模块:单从它占的体积可以想象,在这里肯定是“老大”,大伙都听它的,没错!它的确是整个系统核心部分,掌握整个系统的“政权”。
它内部是有分工的,由两部分组成:保护模块和判断机制。
首先看看保护模块,其实它是“打工仔”,因为它的责任是对驱动层传过来的信息进行分类和组织,没有决定权,同时还是个负责任的“保安”,还要对进程、注册表和文件敏感地方进行保护。
重要人物要上场了——判断机制,灯光音乐….判断机制对保护模块“打工仔”提交的公文(组织好的监控信息)进行批示,判断哪些是不法分子(病毒),哪些是合法分子(正常进程),一旦发现不法分子,立即下达命令对其进行捉捕(对病毒进行权限控制)。这样说来,判断机制是不是类似 govern-ment?
判断机制有两套判断方法:
评分机制:(如图)
总之,以恶意分值标识病毒。
综合行为判断机制(如图):
总之,以多种敏感行为组合标识病毒。
两个判断机制形成双重判断机制,如果同时报警,后者优先!
刚才上面说到捉人,当然人是不能乱抓滴。。。搞错了坏人逍遥法外,好人被冤枉。所以判断应该有一个明文规定。
到策略库(数据库)出场了,它来头不小,因为它制定了判断病毒的规则。所以策略库可以说是一部“法侓”,这部“法侓”具体写着什么规定呢?读者可下载本软件,直接打开数据库,它是access数据库。策略库作为一个独立的模块,不依附于行为策略模块,所以便于对它进行管理和拓展。
行为策略模块与策略库关系是这样的:
最后看看系统执行流程:
后面的话:
介绍就到这里了。学信息安全是一个艰难的过程,在这个过程中有时候可能会很难受,有时因为一个问题纠结几天,当然问题终于突破时,会感到无比高兴,所有的付出都是值得的,这也许是信息安全技术的魅力吧!我始终相信,成为一个黑客绝不会是仅仅学会用几个工具,而是脚踏实地,一步一个脚印地走。在看雪注册不久,也学到一些东西,感觉这里很沉稳、踏实,都是技术流,有点学院风。呵呵,不错的地方,以后常来!!!
****************软件下载****************
程序:
基于行为策略的主动防御系统.haozip01.zip
基于行为策略的主动防御系统.haozip02.zip
基于行为策略的主动防御系统.haozip03.zip
******************************************
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
这个不错啊。顶个。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
看到源码就要顶
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
