首页
社区
课程
招聘
[分享]Ring3下WX方法结束微点2009
发表于: 2009-10-9 22:04 27556

[分享]Ring3下WX方法结束微点2009

2009-10-9 22:04
27556
收藏
免费 7
支持
分享
最新回复 (55)
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
26
赞同,
2009-10-14 12:11
0
雪    币: 750
活跃值: (228)
能力值: ( LV9,RANK:780 )
在线值:
发帖
回帖
粉丝
27
呵呵,我对微点还是挺有信心的,正在使,挺不错的
2009-10-14 15:11
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
微点本来就是垃圾。。。
2009-10-15 17:21
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
这个够我理解一阵子的了,唉
2009-10-17 20:52
0
雪    币: 1407
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
路过学习一下
2009-10-19 18:00
0
雪    币: 276
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
微点对于象我这类只会用IE的人的确是垃圾。但是对于计算机知识丰富的人还是不错的。
2009-10-20 12:31
0
雪    币: 276
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
奇怪的是,微点号称是hips对于WriteProcessMemory这么危险的行为居然没拦截????
(本人没用过微点,习惯裸奔)
2009-10-20 12:34
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
关注的是行为,落实的是目的

感觉是标题这几个字来综合阐述“主动防御技术”还是蛮不错的,解释一下就是关注一个程序运行后所触发的所有系统调用行为,最后具体落实到程序的真正目的,从而有效的判断该程序到底是不是病毒、木马,如果是那就调用清除引擎回滚行为,如果不是则放行,程序正常运作。

有人说主动防御技术现在还不是很成熟,的确,主动防御在误报率上面相对于传统杀毒软件的确很大,这也肯定是不可避免的,但相对于传统杀软的优势也是明显的,因为它具有了其他不具有的API广谱库+逻辑判断环节,可以从程序角度上分析绝大多数病毒,甚至可以分析出一些专业的病毒分析人士无法进行分析的程序,比如受加强壳、反调试等等客观因素影响下的样本程序,比如用微点来说,一样本程序运行后被微点的未知行为规则报警了,那么只能够说明这个程序已经具有了病毒、木马等应该具有的性质,再从分析角度来看只需要进一步确认该文件是那种种类的木马病毒就可以了。

用标题的十二个字来比较一下传统杀软、主动防御、hips的区别:

传统杀软只能够得到里面的六个字“关注的是目的”:

无论是内存特征、文件特征还是各式各样的广谱特征,最后都是人为落实的(加入特征库到达目的地),而杀毒软件只需要在目的地判断程序是否要来,如果要来直接调用清除引擎清除,原本这样的效率是很高的,但是有一个先天因素就是行为落实是有人为提供的,面对病毒、木马、后面层出不穷的今天,这样迟早也会发生双拳难敌四手的事情。所以这里的效率高只是程序确认是已知病毒的效率,归根结底就是“关注的是目的”,所以总体效率是很低的,相对而言只是经过人脑确认的一个病毒资源库,至于现在涉及到内核态的病毒是否可以清除、清除掉有无副作用又是另外一回事。

主动防御上面已经说过了,“关注的是行为,落实的是目的”,行为一旦被触发,主动防御就会先斩后奏,至少当前进程无论是否是病毒,一但触发了行为规则进程都会被挂起或结束,不难看出越是行为突出或拥有多数功能的病毒,就越难突破这种机制,突破这种机制就得从行为少或不突出等方面入手。

hips也只可以匹配到里面六个字“落实的是行为”,hips从设计角度上是最安全的安全产品,但是留给使用者的却是难以承受的鼠标点击率和行为判断,如果使用行为规则来完善hips,那么病毒同样可以模拟行为规则绕过hips,至于绕过绕不过只是巧合的问题,毕竟Hook的原生API越多就表明hips越强大,但是对于Ki、Ke、Fs、Io、Cc、Ex、Mm、Ps这类的原生函数调用又怎么在保证稳定性的前提下hook呢?如果在不重定向内核态执行体的情况下似乎鼠标的寿命和蓝屏都是问题,所以病毒一旦感染或替换了正常驱动来调用这些,hips就会挂的很惨。
2009-10-20 17:32
0
雪    币: 276
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
所见略同啊,哈哈。法宝还是特征码。
2009-10-20 20:27
0
雪    币: 750
活跃值: (228)
能力值: ( LV9,RANK:780 )
在线值:
发帖
回帖
粉丝
35
呵呵,都跑题了
不过我还是喜欢微点,怎么说了,和普通的杀毒软件各自都有自己的优点

微点之前,我用ESET NOD32,可惜没防住,用外挂中毒导致地下城装备被盗,我郁闷的。。

后来我就想换个杀软,换来换去,也就微点了,我是用在网吧的游戏服务器上的

微点它不会主动杀毒,只有可疑文件运行时才会报警处理,对游戏服务器来说这点挺好

因为有些破解版的游戏或辅助工具类的容易被普通的杀软干掉,而微点就不会,这就是我选择微点的原因之一

微点总体来说适合服务器使用或计算机高手使用
2009-10-20 21:26
0
雪    币: 471
活跃值: (4003)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
36
微点还行,当然在大牛面前一切都是纸老虎!
2009-10-22 16:57
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
我还是比较支持微点的
2009-10-27 14:59
0
雪    币: 356
活跃值: (38)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
38
代码看明白了。
有一个问题,创建进程后主线程开始执行前,程序的IAT应该已经被填充完毕了。
这时卸载section,再把我们的程序写进去,IAT应该是没有被填充的状态呀。
可是为什么还能正常运行呢??
2009-11-15 19:08
0
雪    币: 225
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
貌似对微点无效啊。。。
难道是我操作问题?
2009-11-15 20:24
0
雪    币: 1004
活跃值: (75)
能力值: ( LV9,RANK:570 )
在线值:
发帖
回帖
粉丝
40
qihoocom这个ID有两个人在用,一个是美女MJ小姐,为人谦虚,技术高超,也乐于助人。另一个偶就不敢恭维了,大家从他们贴子里的言辞就能分辨出来,我也只敢说这么多了,再说会被。。。。。。
2009-11-18 10:46
0
雪    币: 33
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
真的假有...还有共用的情况?
2009-11-18 15:38
0
雪    币: 33
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
多发几个码嘛, 让每个人都有一个ID
2009-11-18 15:39
0
雪    币: 58
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
没用微点的来学习一下
2009-11-19 10:55
0
雪    币: 1708
活跃值: (586)
能力值: ( LV15,RANK:670 )
在线值:
发帖
回帖
粉丝
44

不会吧,我一直给人家推荐NOD32企业版...


MJ真是姐姐来的???
2009-11-19 12:58
0
雪    币: 225
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
不会吧,mj0011是女的?不是360的郑文斌么?
天啊,真晕。。。。。。
2009-11-20 20:57
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
mj0011 是女的又如何。男女平等。。。。。。。。。。男人更需要被呵护的。
2009-11-22 21:26
0
雪    币: 49
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
47
招聘版外的就没客气言辞  
最多借用而已
谈不上共用
2009-12-20 23:44
0
雪    币: 220
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
48
学习了,对于新手有帮助,呵呵!!!
2010-1-29 16:16
0
雪    币: 808
活跃值: (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
49
学了不少新知识,O(∩_∩)O哈哈~
2010-1-30 00:18
0
雪    币: 199
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
50
根本就不行,没有结束微点。测试过了。
2010-2-7 01:18
0
游客
登录 | 注册 方可回帖
返回
//