[分享]Ring3下WX方法结束微点2009-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]Ring3下WX方法结束微点2009

发表于: 2009-10-9 22:04 27556

[分享]Ring3下WX方法结束微点2009

cogito

2009-10-9 22:04

27556

查看主题内容

收藏・14

免费・7

支持

最新回复 (55) ◀ 1 2 3 ▶
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 26 楼赞同， 2009-10-14 12:11 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 27 楼呵呵，我对微点还是挺有信心的，正在使，挺不错的 2009-10-14 15:11 0
fxjtv 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	fxjtv 28 楼微点本来就是垃圾。。。 2009-10-15 17:21 0
秋秋叶雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	秋秋叶 29 楼这个够我理解一阵子的了，唉 2009-10-17 20:52 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 30 楼路过学习一下 2009-10-19 18:00 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 31 楼微点对于象我这类只会用IE的人的确是垃圾。但是对于计算机知识丰富的人还是不错的。 2009-10-20 12:31 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 32 楼奇怪的是，微点号称是hips对于WriteProcessMemory这么危险的行为居然没拦截？？？？（本人没用过微点，习惯裸奔） 2009-10-20 12:34 0
菜鸟test 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	菜鸟test 33 楼关注的是行为，落实的是目的感觉是标题这几个字来综合阐述“主动防御技术”还是蛮不错的，解释一下就是关注一个程序运行后所触发的所有系统调用行为，最后具体落实到程序的真正目的，从而有效的判断该程序到底是不是病毒、木马，如果是那就调用清除引擎回滚行为，如果不是则放行，程序正常运作。有人说主动防御技术现在还不是很成熟，的确，主动防御在误报率上面相对于传统杀毒软件的确很大，这也肯定是不可避免的，但相对于传统杀软的优势也是明显的，因为它具有了其他不具有的API广谱库+逻辑判断环节，可以从程序角度上分析绝大多数病毒，甚至可以分析出一些专业的病毒分析人士无法进行分析的程序，比如受加强壳、反调试等等客观因素影响下的样本程序，比如用微点来说，一样本程序运行后被微点的未知行为规则报警了，那么只能够说明这个程序已经具有了病毒、木马等应该具有的性质，再从分析角度来看只需要进一步确认该文件是那种种类的木马病毒就可以了。用标题的十二个字来比较一下传统杀软、主动防御、hips的区别：传统杀软只能够得到里面的六个字“关注的是目的”：无论是内存特征、文件特征还是各式各样的广谱特征，最后都是人为落实的（加入特征库到达目的地），而杀毒软件只需要在目的地判断程序是否要来，如果要来直接调用清除引擎清除，原本这样的效率是很高的，但是有一个先天因素就是行为落实是有人为提供的，面对病毒、木马、后面层出不穷的今天，这样迟早也会发生双拳难敌四手的事情。所以这里的效率高只是程序确认是已知病毒的效率，归根结底就是“关注的是目的”，所以总体效率是很低的，相对而言只是经过人脑确认的一个病毒资源库，至于现在涉及到内核态的病毒是否可以清除、清除掉有无副作用又是另外一回事。主动防御上面已经说过了，“关注的是行为，落实的是目的”，行为一旦被触发，主动防御就会先斩后奏，至少当前进程无论是否是病毒，一但触发了行为规则进程都会被挂起或结束，不难看出越是行为突出或拥有多数功能的病毒，就越难突破这种机制，突破这种机制就得从行为少或不突出等方面入手。 hips也只可以匹配到里面六个字“落实的是行为”，hips从设计角度上是最安全的安全产品，但是留给使用者的却是难以承受的鼠标点击率和行为判断，如果使用行为规则来完善hips，那么病毒同样可以模拟行为规则绕过hips，至于绕过绕不过只是巧合的问题，毕竟Hook的原生API越多就表明hips越强大，但是对于Ki、Ke、Fs、Io、Cc、Ex、Mm、Ps这类的原生函数调用又怎么在保证稳定性的前提下hook呢？如果在不重定向内核态执行体的情况下似乎鼠标的寿命和蓝屏都是问题，所以病毒一旦感染或替换了正常驱动来调用这些，hips就会挂的很惨。 2009-10-20 17:32 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 34 楼所见略同啊，哈哈。法宝还是特征码。 2009-10-20 20:27 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 35 楼呵呵，都跑题了不过我还是喜欢微点，怎么说了，和普通的杀毒软件各自都有自己的优点微点之前，我用ESET NOD32，可惜没防住，用外挂中毒导致地下城装备被盗，我郁闷的。。后来我就想换个杀软，换来换去，也就微点了，我是用在网吧的游戏服务器上的微点它不会主动杀毒，只有可疑文件运行时才会报警处理，对游戏服务器来说这点挺好因为有些破解版的游戏或辅助工具类的容易被普通的杀软干掉，而微点就不会，这就是我选择微点的原因之一微点总体来说适合服务器使用或计算机高手使用 2009-10-20 21:26 0
xss 雪币： 471 活跃值： (4003) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 36 楼微点还行，当然在大牛面前一切都是纸老虎！ 2009-10-22 16:57 0
foxbase 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 40 粉丝 0 关注私信	foxbase 37 楼我还是比较支持微点的 2009-10-27 14:59 0
cradiator 雪币： 356 活跃值： (38) 能力值： ( LV9，RANK：220 ) 在线值：发帖 16 回帖 51 粉丝 4 关注私信	cradiator 4 38 楼代码看明白了。有一个问题，创建进程后主线程开始执行前，程序的IAT应该已经被填充完毕了。这时卸载section，再把我们的程序写进去，IAT应该是没有被填充的状态呀。可是为什么还能正常运行呢？？ 2009-11-15 19:08 0
Sovereign 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 91 粉丝 0 关注私信	Sovereign 39 楼貌似对微点无效啊。。。难道是我操作问题？ 2009-11-15 20:24 0
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 40 楼 qihoocom这个ID有两个人在用，一个是美女MJ小姐，为人谦虚，技术高超，也乐于助人。另一个偶就不敢恭维了，大家从他们贴子里的言辞就能分辨出来，我也只敢说这么多了，再说会被。。。。。。 2009-11-18 10:46 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 41 楼真的假有...还有共用的情况? 2009-11-18 15:38 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 42 楼多发几个码嘛, 让每个人都有一个ID 2009-11-18 15:39 0
skybright 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	skybright 43 楼没用微点的来学习一下 2009-11-19 10:55 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 44 楼不会吧，我一直给人家推荐NOD32企业版... MJ真是姐姐来的？？？ 2009-11-19 12:58 0
Sovereign 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 91 粉丝 0 关注私信	Sovereign 45 楼不会吧，mj0011是女的？不是360的郑文斌么？天啊，真晕。。。。。。 2009-11-20 20:57 0
heiyeyehei 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	heiyeyehei 46 楼 mj0011 是女的又如何。男女平等。。。。。。。。。。男人更需要被呵护的。 2009-11-22 21:26 0
catface 雪币： 49 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 313 粉丝 2 关注私信	catface 47 楼招聘版外的就没客气言辞最多借用而已谈不上共用 2009-12-20 23:44 0
manbug 雪币： 220 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 188 粉丝 0 关注私信	manbug 48 楼学习了，对于新手有帮助，呵呵！！！ 2010-1-29 16:16 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 49 楼学了不少新知识，O(∩_∩)O哈哈~ 2010-1-30 00:18 0
linyud 雪币： 199 能力值： (RANK：10 ) 在线值：发帖 23 回帖 125 粉丝 0 关注私信	linyud 50 楼根本就不行，没有结束微点。测试过了。 2010-2-7 01:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cogito

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (55) ◀ 1 2 3 ▶
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 26 楼赞同， 2009-10-14 12:11 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 27 楼呵呵，我对微点还是挺有信心的，正在使，挺不错的 2009-10-14 15:11 0
fxjtv 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	fxjtv 28 楼微点本来就是垃圾。。。 2009-10-15 17:21 0
秋秋叶雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	秋秋叶 29 楼这个够我理解一阵子的了，唉 2009-10-17 20:52 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 30 楼路过学习一下 2009-10-19 18:00 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 31 楼微点对于象我这类只会用IE的人的确是垃圾。但是对于计算机知识丰富的人还是不错的。 2009-10-20 12:31 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 32 楼奇怪的是，微点号称是hips对于WriteProcessMemory这么危险的行为居然没拦截？？？？（本人没用过微点，习惯裸奔） 2009-10-20 12:34 0
菜鸟test 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	菜鸟test 33 楼关注的是行为，落实的是目的感觉是标题这几个字来综合阐述“主动防御技术”还是蛮不错的，解释一下就是关注一个程序运行后所触发的所有系统调用行为，最后具体落实到程序的真正目的，从而有效的判断该程序到底是不是病毒、木马，如果是那就调用清除引擎回滚行为，如果不是则放行，程序正常运作。有人说主动防御技术现在还不是很成熟，的确，主动防御在误报率上面相对于传统杀毒软件的确很大，这也肯定是不可避免的，但相对于传统杀软的优势也是明显的，因为它具有了其他不具有的API广谱库+逻辑判断环节，可以从程序角度上分析绝大多数病毒，甚至可以分析出一些专业的病毒分析人士无法进行分析的程序，比如受加强壳、反调试等等客观因素影响下的样本程序，比如用微点来说，一样本程序运行后被微点的未知行为规则报警了，那么只能够说明这个程序已经具有了病毒、木马等应该具有的性质，再从分析角度来看只需要进一步确认该文件是那种种类的木马病毒就可以了。用标题的十二个字来比较一下传统杀软、主动防御、hips的区别：传统杀软只能够得到里面的六个字“关注的是目的”：无论是内存特征、文件特征还是各式各样的广谱特征，最后都是人为落实的（加入特征库到达目的地），而杀毒软件只需要在目的地判断程序是否要来，如果要来直接调用清除引擎清除，原本这样的效率是很高的，但是有一个先天因素就是行为落实是有人为提供的，面对病毒、木马、后面层出不穷的今天，这样迟早也会发生双拳难敌四手的事情。所以这里的效率高只是程序确认是已知病毒的效率，归根结底就是“关注的是目的”，所以总体效率是很低的，相对而言只是经过人脑确认的一个病毒资源库，至于现在涉及到内核态的病毒是否可以清除、清除掉有无副作用又是另外一回事。主动防御上面已经说过了，“关注的是行为，落实的是目的”，行为一旦被触发，主动防御就会先斩后奏，至少当前进程无论是否是病毒，一但触发了行为规则进程都会被挂起或结束，不难看出越是行为突出或拥有多数功能的病毒，就越难突破这种机制，突破这种机制就得从行为少或不突出等方面入手。 hips也只可以匹配到里面六个字“落实的是行为”，hips从设计角度上是最安全的安全产品，但是留给使用者的却是难以承受的鼠标点击率和行为判断，如果使用行为规则来完善hips，那么病毒同样可以模拟行为规则绕过hips，至于绕过绕不过只是巧合的问题，毕竟Hook的原生API越多就表明hips越强大，但是对于Ki、Ke、Fs、Io、Cc、Ex、Mm、Ps这类的原生函数调用又怎么在保证稳定性的前提下hook呢？如果在不重定向内核态执行体的情况下似乎鼠标的寿命和蓝屏都是问题，所以病毒一旦感染或替换了正常驱动来调用这些，hips就会挂的很惨。 2009-10-20 17:32 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 34 楼所见略同啊，哈哈。法宝还是特征码。 2009-10-20 20:27 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 35 楼呵呵，都跑题了不过我还是喜欢微点，怎么说了，和普通的杀毒软件各自都有自己的优点微点之前，我用ESET NOD32，可惜没防住，用外挂中毒导致地下城装备被盗，我郁闷的。。后来我就想换个杀软，换来换去，也就微点了，我是用在网吧的游戏服务器上的微点它不会主动杀毒，只有可疑文件运行时才会报警处理，对游戏服务器来说这点挺好因为有些破解版的游戏或辅助工具类的容易被普通的杀软干掉，而微点就不会，这就是我选择微点的原因之一微点总体来说适合服务器使用或计算机高手使用 2009-10-20 21:26 0
xss 雪币： 471 活跃值： (4003) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 36 楼微点还行，当然在大牛面前一切都是纸老虎！ 2009-10-22 16:57 0
foxbase 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 40 粉丝 0 关注私信	foxbase 37 楼我还是比较支持微点的 2009-10-27 14:59 0
cradiator 雪币： 356 活跃值： (38) 能力值： ( LV9，RANK：220 ) 在线值：发帖 16 回帖 51 粉丝 4 关注私信	cradiator 4 38 楼代码看明白了。有一个问题，创建进程后主线程开始执行前，程序的IAT应该已经被填充完毕了。这时卸载section，再把我们的程序写进去，IAT应该是没有被填充的状态呀。可是为什么还能正常运行呢？？ 2009-11-15 19:08 0
Sovereign 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 91 粉丝 0 关注私信	Sovereign 39 楼貌似对微点无效啊。。。难道是我操作问题？ 2009-11-15 20:24 0
mickeylan 雪币： 1004 活跃值： (75) 能力值： ( LV9，RANK：570 ) 在线值：发帖 21 回帖 162 粉丝 4 关注私信	mickeylan 14 40 楼 qihoocom这个ID有两个人在用，一个是美女MJ小姐，为人谦虚，技术高超，也乐于助人。另一个偶就不敢恭维了，大家从他们贴子里的言辞就能分辨出来，我也只敢说这么多了，再说会被。。。。。。 2009-11-18 10:46 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 41 楼真的假有...还有共用的情况? 2009-11-18 15:38 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 42 楼多发几个码嘛, 让每个人都有一个ID 2009-11-18 15:39 0
skybright 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	skybright 43 楼没用微点的来学习一下 2009-11-19 10:55 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 44 楼不会吧，我一直给人家推荐NOD32企业版... MJ真是姐姐来的？？？ 2009-11-19 12:58 0
Sovereign 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 91 粉丝 0 关注私信	Sovereign 45 楼不会吧，mj0011是女的？不是360的郑文斌么？天啊，真晕。。。。。。 2009-11-20 20:57 0
heiyeyehei 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	heiyeyehei 46 楼 mj0011 是女的又如何。男女平等。。。。。。。。。。男人更需要被呵护的。 2009-11-22 21:26 0
catface 雪币： 49 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 313 粉丝 2 关注私信	catface 47 楼招聘版外的就没客气言辞最多借用而已谈不上共用 2009-12-20 23:44 0
manbug 雪币： 220 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 188 粉丝 0 关注私信	manbug 48 楼学习了，对于新手有帮助，呵呵！！！ 2010-1-29 16:16 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 49 楼学了不少新知识，O(∩_∩)O哈哈~ 2010-1-30 00:18 0
linyud 雪币： 199 能力值： (RANK：10 ) 在线值：发帖 23 回帖 125 粉丝 0 关注私信	linyud 50 楼根本就不行，没有结束微点。测试过了。 2010-2-7 01:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复