首页
社区
课程
招聘
[讨论][建议]关于过主动防御的方法怎么实现?
发表于: 2009-6-9 14:08 6338

[讨论][建议]关于过主动防御的方法怎么实现?

2009-6-9 14:08
6338
我在网上无意间找到这个文章,但是文章所说的方法。
弄的不是很懂,貌似这个方法是08年的时候发布的,
但是我不是很明白,怎么实现?
大家谁知道,把步骤说下,可以吗?
http://security.ctocio.com.cn/hacker/477/8319977.shtml
就是这个地址上的文章。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (12)
雪    币: 33
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
难道没人知道吗?
2009-6-19 16:37
0
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
3
看了楼主贴的链接,“过主动防御”的字眼可以说纯粹是标题党,准确地来说应该是“某些相对较隐蔽的启动程序的方式”。里面提到的注册表路径,基本上人尽皆知,所以基本没有什么意义。

至于真正的“过主动防御”,上次在debugman潜水,看到MJ关于这个的发言,觉得说得在理。MJ发言的大意是:对于某些无论拦到什么都询问的愣头青式HIPS,要让它不报一般得是非公开方法了,但是对于其他一般的HIPS(拦截后判断为危险操作才提示,不认为是危险操作就放过),即使实质上是用的常规方法,也可以通过某些花招让其认为是可信任操作而自动放行,这就是通常的“过主动防御”。

“过主动防御”这个标签一贴上,就显现出太明显的目的性(被打上制作病毒木马的嫌疑),楼主觉得大家会公开以这个为主题来讨论吗?!
2009-6-19 18:59
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
4
即使是愣头青HIPS,也可以利用其处理中的一些缺陷,来绕过,这介于非公开方法和钻空子之间~
2009-6-19 19:02
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
5
在kmixer.sys上作文章~
2009-6-19 21:42
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
6
这篇文章上的过主动防御方法都是无效的~
你自己都没有研究还要别人给你答案,你是在搞笑是不是?
2009-6-19 21:44
0
雪    币: 197
活跃值: (52)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
7
这问题问的也太露股了吧
2009-6-19 23:41
0
雪    币: 340
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
露"股"...........
2009-6-19 23:47
0
雪    币: 537
活跃值: (1497)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
上面的回答有意思............
2009-8-11 20:04
0
雪    币: 102
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
.我 爱上三楼了
2009-8-12 13:28
0
雪    币: 76
活跃值: (27)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
说下,主动防御是靠函数来控制的,你想知道一个进程有什么行为,只要调用API就可以大概清楚知道了!
还有 根据现在病毒和木马 编写程序 没有达任何木马可以达到HAL上 另外现在杀毒软件也不会对系统内核进行扫描查杀,你如果写的木马可以涉足到内核上就OK!
2010-1-24 17:08
0
雪    币: 76
活跃值: (27)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
过主动防御  去过。。。麦咖啡?
2010-1-24 17:08
0
雪    币: 445
活跃值: (52)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
13
好像是150K以上的程序是让你加载驱动的
2010-1-25 10:59
0
游客
登录 | 注册 方可回帖
返回
//