瑞星卡卡安全论坛

首页 » 个人产品讨论区 » 瑞星杀毒软件 » 瑞星全功能安全软件 » 建议内核加固增加一项规则
立刻回答 - 2011-8-5 17:24:00
  最近2012等的大家很着急,不过还是想要提一个2011的建议

  就是在内核加固中增加"修改目标进程的内存",尤其是系统进程以及信任的应用程序.

  之所以建议增加这个项目,原因有二:

    1.这是一项恶意程序经常利用的一项远程注入技术,能够完全掌握目标程序,使其成为傀儡,执行各种恶意行为;
      对于直接信任具有数字签名程序机制的防御软件更加是隐患,恰巧瑞星就是这样;

    2.木马防御能够在一定程度上防御这个行为带来的一系列后果,但是往往处理的不是很完美,
  会有一些多余的动作无法拦截干净,可以试试我给出的样本.


  瑞星在SSDT中均挂钩了类似NtWriteVirtualMemory的底层函数,相信实现难度不大;


  希望2012更加美好!


样本链接:http://bbs.kafan.cn/thread-1045563-1-1.html


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
shulun743 - 2011-8-5 19:17:00
添加这项 检测  没有任何难度,瑞星2008就有这个监控项了

不过 后来版取消了!!!

:kaka6:
瑞星工程师16 - 2011-8-8 10:33:00
该建议已反馈相关部门,感谢您对瑞星的支持!
1
查看完整版本: 建议内核加固增加一项规则