轰动电脑安全界的精品核心技术研究!
现在很多穿透还原软件的病毒,目前过大部分的杀软,因为没有全部测试,杀软
在明处,病毒在暗处,自然简单,突破还原精灵,影子系统,还原卡,
powershadow,shadowuser,雨过天晴等等,病毒样本就不放了,毕竟危害很大,不
想被心怀不轨的人利用- -
只是想善意的提醒各位朋友不要强烈依赖这种类似产品,
原理是 直接磁盘访问,直接硬盘IO,当然可以配合设备对象挂钩,基于disk的保
护,只要在os加载前,看谁第一个夺得控制权,谁就是王者,进入ring0才是王道
,进入了ring0,被解决只是时间问题,用户的安全感会逐渐丧失
虚拟还原,要么磁盘过滤驱动,要么引导记录,弱点多的,至于控制disk的先后
问题,看谁更加变态,后来的也可以夺取控制权
目前的还原软件分为文件级的还原与磁盘级的还原,磁盘级的还原不是那么容易
就破解的!
如果只是要破坏硬盘的话没有必要蛮干,完全可以绕过还原软件!
如果是想穿透还原软件写入病毒木马的话,就看谁的技术更硬了!
文件级的过滤驱动摘除,挂钩
磁盘极的挂钩,或者暴力IO,达到目的即可,陷在出来的还原软件做这些防护的
没几个,再说了,进入了ring0 ,谁怕谁啊,你保护,我xx你就行了,发这个帖
子不过是提醒下,没有搞破坏的意思,还原环境写入文件,不是难事
总体来讲,破坏总比安全来的容易,“三联防毒疫苗0908版”防不住这个的,
ring3层注册表的免疫有啥用?对于直接硬盘IO,挂钩INT 1单步调试中断,需要
智能分析,但是这样会非常的影响效率,正规软件不会这么做,说到现在,忽然
想起了刚才的虚拟机死机问题,怀疑是挂钩单步中断,但是这样肯定会大大的影
响效率,我没办法测试,虚拟机会卡死
BTW都说道ring0了,杀软和防火墙之类的就不足畏惧,ring3层需要和用户进行沟
通的软件都可以模拟消息,这是所有gui的通用弱点,说到传播,技术加猥琐的消
息关闭ring3层的杀软,防火墙,加上社会工程学,看看一个熊猫就知道后果了
现在那些杀软全是吹牛,硬件归硬件,64的双核,vista,驱动签名,dll签名,
自然能防,xp下面,驱动都是光秃秃的,我和杀软一个等级,who怕who啊,还原
不了就暴力,反正受害的不会是自己,对吧?网吧之类的,不是仅仅技术,涉及
太多的利益,大家混饭吃的,没必要死整,技术知道了就行了,纯探讨性质,我
不是个破坏者,看看所谓的灰鸽子黑客有多少,看了这些,我就不会随便放出去
,毕竟熟悉这些的也都心知肚明,放出去,就是为害人间,没好报的,虽然不是
什么高深的技术,但是影响不小,配合其他猥琐手段的话
现在很多病毒可以穿透还原软件,大家商讨一下如何做个防病毒穿透还原软件的
东东出来吗?
也就是说做个保护像VD,DF,还原精灵不被穿透的东东!可以做出来吗?
大家讨论一下!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)