[讨论][建议]关于过主动防御的方法怎么实现？-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
冰河之恋雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	冰河之恋 2009-6-19 16:37 2 楼 0 难道没人知道吗？
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2009-6-19 18:59 3 楼 0 看了楼主贴的链接，“过主动防御”的字眼可以说纯粹是标题党，准确地来说应该是“某些相对较隐蔽的启动程序的方式”。里面提到的注册表路径，基本上人尽皆知，所以基本没有什么意义。至于真正的“过主动防御”，上次在debugman潜水，看到MJ关于这个的发言，觉得说得在理。MJ发言的大意是：对于某些无论拦到什么都询问的愣头青式HIPS，要让它不报一般得是非公开方法了，但是对于其他一般的HIPS（拦截后判断为危险操作才提示，不认为是危险操作就放过），即使实质上是用的常规方法，也可以通过某些花招让其认为是可信任操作而自动放行，这就是通常的“过主动防御”。 “过主动防御”这个标签一贴上，就显现出太明显的目的性（被打上制作病毒木马的嫌疑），楼主觉得大家会公开以这个为主题来讨论吗？！
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 48 回帖 1176 粉丝 22 关注私信	qihoocom 9 2009-6-19 19:02 4 楼 0 即使是愣头青HIPS,也可以利用其处理中的一些缺陷，来绕过，这介于非公开方法和钻空子之间~
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2009-6-19 21:42 5 楼 0 在kmixer.sys上作文章~
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2009-6-19 21:44 6 楼 0 这篇文章上的过主动防御方法都是无效的~ 你自己都没有研究还要别人给你答案，你是在搞笑是不是？
nimda 雪币： 197 活跃值： (52) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 56 粉丝 1 关注私信	nimda 1 2009-6-19 23:41 7 楼 0 这问题问的也太露股了吧
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 140 粉丝 1 关注私信	marshalx 2009-6-19 23:47 8 楼 0 露"股"...........
guijian 雪币： 343 活跃值： (1154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 119 粉丝 0 关注私信	guijian 2009-8-11 20:04 9 楼 0 上面的回答有意思............
ashtO 雪币： 102 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 67 粉丝 0 关注私信	ashtO 2009-8-12 13:28 10 楼 0 .我爱上三楼了
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 2010-1-24 17:08 11 楼 0 说下，主动防御是靠函数来控制的，你想知道一个进程有什么行为，只要调用API就可以大概清楚知道了！还有根据现在病毒和木马编写程序没有达任何木马可以达到HAL上另外现在杀毒软件也不会对系统内核进行扫描查杀，你如果写的木马可以涉足到内核上就OK!
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 2010-1-24 17:08 12 楼 0 过主动防御去过。。。麦咖啡？
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 2010-1-25 10:59 13 楼 0 好像是150K以上的程序是让你加载驱动的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (12)
冰河之恋雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	冰河之恋 2009-6-19 16:37 2 楼 0 难道没人知道吗？
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2009-6-19 18:59 3 楼 0 看了楼主贴的链接，“过主动防御”的字眼可以说纯粹是标题党，准确地来说应该是“某些相对较隐蔽的启动程序的方式”。里面提到的注册表路径，基本上人尽皆知，所以基本没有什么意义。至于真正的“过主动防御”，上次在debugman潜水，看到MJ关于这个的发言，觉得说得在理。MJ发言的大意是：对于某些无论拦到什么都询问的愣头青式HIPS，要让它不报一般得是非公开方法了，但是对于其他一般的HIPS（拦截后判断为危险操作才提示，不认为是危险操作就放过），即使实质上是用的常规方法，也可以通过某些花招让其认为是可信任操作而自动放行，这就是通常的“过主动防御”。 “过主动防御”这个标签一贴上，就显现出太明显的目的性（被打上制作病毒木马的嫌疑），楼主觉得大家会公开以这个为主题来讨论吗？！
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 48 回帖 1176 粉丝 22 关注私信	qihoocom 9 2009-6-19 19:02 4 楼 0 即使是愣头青HIPS,也可以利用其处理中的一些缺陷，来绕过，这介于非公开方法和钻空子之间~
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2009-6-19 21:42 5 楼 0 在kmixer.sys上作文章~
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2009-6-19 21:44 6 楼 0 这篇文章上的过主动防御方法都是无效的~ 你自己都没有研究还要别人给你答案，你是在搞笑是不是？
nimda 雪币： 197 活跃值： (52) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 56 粉丝 1 关注私信	nimda 1 2009-6-19 23:41 7 楼 0 这问题问的也太露股了吧
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 140 粉丝 1 关注私信	marshalx 2009-6-19 23:47 8 楼 0 露"股"...........
guijian 雪币： 343 活跃值： (1154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 119 粉丝 0 关注私信	guijian 2009-8-11 20:04 9 楼 0 上面的回答有意思............
ashtO 雪币： 102 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 67 粉丝 0 关注私信	ashtO 2009-8-12 13:28 10 楼 0 .我爱上三楼了
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 2010-1-24 17:08 11 楼 0 说下，主动防御是靠函数来控制的，你想知道一个进程有什么行为，只要调用API就可以大概清楚知道了！还有根据现在病毒和木马编写程序没有达任何木马可以达到HAL上另外现在杀毒软件也不会对系统内核进行扫描查杀，你如果写的木马可以涉足到内核上就OK!
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 2010-1-24 17:08 12 楼 0 过主动防御去过。。。麦咖啡？
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 2010-1-25 10:59 13 楼 0 好像是150K以上的程序是让你加载驱动的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复