首页
社区
课程
招聘
[原创]轰动电脑安全界的精品核心技术研究!
发表于: 2007-11-19 14:30 22166

[原创]轰动电脑安全界的精品核心技术研究!

2007-11-19 14:30
22166
轰动电脑安全界的精品核心技术研究!
现在很多穿透还原软件的病毒,目前过大部分的杀软,因为没有全部测试,杀软

在明处,病毒在暗处,自然简单,突破还原精灵,影子系统,还原卡,

powershadow,shadowuser,雨过天晴等等,病毒样本就不放了,毕竟危害很大,不

想被心怀不轨的人利用- -

只是想善意的提醒各位朋友不要强烈依赖这种类似产品,
原理是 直接磁盘访问,直接硬盘IO,当然可以配合设备对象挂钩,基于disk的保

护,只要在os加载前,看谁第一个夺得控制权,谁就是王者,进入ring0才是王道

,进入了ring0,被解决只是时间问题,用户的安全感会逐渐丧失
虚拟还原,要么磁盘过滤驱动,要么引导记录,弱点多的,至于控制disk的先后

问题,看谁更加变态,后来的也可以夺取控制权
目前的还原软件分为文件级的还原与磁盘级的还原,磁盘级的还原不是那么容易

就破解的!

如果只是要破坏硬盘的话没有必要蛮干,完全可以绕过还原软件!
如果是想穿透还原软件写入病毒木马的话,就看谁的技术更硬了!
文件级的过滤驱动摘除,挂钩
磁盘极的挂钩,或者暴力IO,达到目的即可,陷在出来的还原软件做这些防护的

没几个,再说了,进入了ring0 ,谁怕谁啊,你保护,我xx你就行了,发这个帖

子不过是提醒下,没有搞破坏的意思,还原环境写入文件,不是难事
总体来讲,破坏总比安全来的容易,“三联防毒疫苗0908版”防不住这个的,

ring3层注册表的免疫有啥用?对于直接硬盘IO,挂钩INT 1单步调试中断,需要

智能分析,但是这样会非常的影响效率,正规软件不会这么做,说到现在,忽然

想起了刚才的虚拟机死机问题,怀疑是挂钩单步中断,但是这样肯定会大大的影

响效率,我没办法测试,虚拟机会卡死

BTW都说道ring0了,杀软和防火墙之类的就不足畏惧,ring3层需要和用户进行沟

通的软件都可以模拟消息,这是所有gui的通用弱点,说到传播,技术加猥琐的消

息关闭ring3层的杀软,防火墙,加上社会工程学,看看一个熊猫就知道后果了
现在那些杀软全是吹牛,硬件归硬件,64的双核,vista,驱动签名,dll签名,

自然能防,xp下面,驱动都是光秃秃的,我和杀软一个等级,who怕who啊,还原

不了就暴力,反正受害的不会是自己,对吧?网吧之类的,不是仅仅技术,涉及

太多的利益,大家混饭吃的,没必要死整,技术知道了就行了,纯探讨性质,我

不是个破坏者,看看所谓的灰鸽子黑客有多少,看了这些,我就不会随便放出去

,毕竟熟悉这些的也都心知肚明,放出去,就是为害人间,没好报的,虽然不是

什么高深的技术,但是影响不小,配合其他猥琐手段的话

现在很多病毒可以穿透还原软件,大家商讨一下如何做个防病毒穿透还原软件的

东东出来吗?
也就是说做个保护像VD,DF,还原精灵不被穿透的东东!可以做出来吗?
大家讨论一下!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (41)
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
2
把os做在只读介质上
2007-11-19 14:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
2007-11-19 15:21
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
1.用最新的硬件,比如串口硬盘!这样,I.O资料就很少了
2.有种还原卡,是硬件级的,插在I/O线上的!绝对不会被破解!
3.用无盘技术,也不会被破解!
2007-11-19 15:46
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
那个东西不是有源码吗?什么叫不想放?我记得原创是老外写的。
2007-11-19 16:15
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
上面的朋友讲的都不能防穿透
不过有一个朋友讲把OS做成像光盘的只读倒是启发了我的思路

我编了一个东东,可以把硬盘做成ISO光盘形式,不影响到使

上面的朋友都没有讲到重点!

我经过测试,目前发现只有虚拟机可以真正防病毒穿透,不过就是使用速度不理想

像BXP,CCDISK等虚拟磁盘技术也不行,仍有办法穿透!
2007-11-19 16:25
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
"目前发现只有虚拟机可以真正防病毒穿透,"
乱说,我说的2,3的方法也是无法穿透的!
2007-11-19 16:35
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
ISO光盘形式===>也可以穿透吧
2007-11-19 16:35
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
虚拟机能防毒,是因为I/O指令都被虚拟执行了!不会真正执行!
硬件还原卡和无盘系统也是一样的!!
I/O指令也被虚拟执行了
2007-11-19 16:36
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
如果里非要什么软件的方式,也行,做个硬件卡,把硬盘的I/O口重定位!
然后写驱动在软件层将I/O口也重定位,当然里也然就可以做扇区级的映射了,完成还原软件的功能
2007-11-19 16:39
0
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
11
YY ....................
2007-11-19 17:21
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
12
晕,再讨论就成讨论单片机了。。。

2007-11-19 18:48
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
看样子防这种毒要进DOS Del 再用calcs来防了。要不然难办了。
2007-11-19 22:00
0
雪    币: 424
活跃值: (1969)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
14
小哨兵不一样被XX了吗
2007-11-20 08:40
0
雪    币: 290
活跃值: (650)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
小哨兵不能防IO吧?
2007-11-20 09:11
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
还是PE盘好啊......
你穿了还原又怎么样,PE引导的话你启动不了照样玩死你,当然BIOS rootkit另说......
2007-11-20 12:17
0
雪    币: 202
活跃值: (77)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
17
不上网+买正版 搞定一切  嗯
2007-11-20 16:51
0
雪    币: 151
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
有点YY,同意qiweixue
2007-11-20 16:59
0
雪    币: 666
活跃值: (186)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
19
这是哪个还原软件的产商?想讨技术也没必要整这么个题目吧?让人当是来传道授业的。
大学里还原保护研究了两年,解决过若干种还原软件。自认为没有不能被破解的还原软件。软道理打不过硬道理,这是自然界永恒的真理。
2007-11-21 19:29
0
雪    币: 200
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
道高一尺,魔高一丈。如果没有穿透,也没有了技术的发展。如果当年没有计算机,也不会出现:黑客:这一个词了。
2007-11-21 19:49
0
雪    币: 215
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
貌似就虚拟机能够防吧。虚拟OS的ring0也是虚拟执行的。所以无论你怎么用IO操作,在虚拟机上执行时就把你挡掉就全OVER了。。估计这将是安全保护的王道哈。。
貌似研究不出来能突破这点的方法。。呵。只要封得好,管你用啥技术,永远都无法获取最高权限。因为所有自定代码都是虚拟执行的,次最高权限。
不过用虚拟OS来执行日常事物的话效率不敢想象。。估计等128Bit的高速Cpu出来时才能担任此任吧。。
2007-11-21 20:34
0
雪    币: 215
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
2007-11-21 20:36
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
23
能让人用的虚拟机都能被穿透,你说的那种不能穿透的虚拟机都不能用。
病毒和杀毒就是小偷和警察的关系,你想让世界上没有小偷,可能么?
2007-11-22 17:38
0
雪    币: 257
活跃值: (56)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
24
且不说内容如何,题目取得太夸张往往不好。
2007-11-22 23:25
0
雪    币: 207
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
给段代码吧,说的再多都是废话
2007-11-25 16:49
0
游客
登录 | 注册 方可回帖
返回
//