所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米” - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 入侵防御（HIPS）所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2008-05-05 22:50 \| 只看楼主短消息资料字号：小中大 1楼所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米” 在SSM面前，它徒有虚名。 b.jpg (250.08 K) 2008-5-5 22:50:18 用户系统信息：Opera/9.26 (Windows NT 5.1; U; zh-cn) 附件: 文件名:a.jpg 下载次数:1287 文件类型:image/jpeg 文件大小: 上传时间:2008-5-5 22:50:18 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72569 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2008-05-05 22:53 \| 只看楼主短消息资料字号：小中大 2楼回复：所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米” 一个没加载的.sys，就是个待拍的黄瓜（用IceSword删除即可）。附件: 文件名:c.jpg 下载次数:1133 文件类型:image/jpeg 文件大小: 上传时间:2008-5-5 22:52:51 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

天月来了版主帖子:76897 注册: 2007-02-06 来自:	发表于： 2008-05-06 07:58 \| 短消息资料字号：小中大 3楼回复：所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米” 呵呵！！总是一开始的防护工作没做好。所以SSM现在越来越不被看好。应该还是个人使用电脑对软件的影响较大吧。百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76897 注册: 2007-02-06 来自:

sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方	发表于： 2008-05-07 07:01 \| 短消息资料字号：小中大 4楼回复：所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米” 这个名字比较经典苏大米！加载的DD挺多叔，它就是靠那个驱动sudami。sys活？？
sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方

Eileen1208 初生襁褓狮帖子:2 注册: 2008-05-07 来自:	发表于： 2008-05-07 08:43 \| 短消息资料字号：小中大 5楼回复：所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米” 我的电脑里有thumb.dl的病毒，还有几个类似回收站图标样式的病毒，用什么办法可以删除啊？我的瑞星根本就杀不了。谢谢啦！
Eileen1208 初生襁褓狮帖子:2 注册: 2008-05-07 来自:

★蓝色羽毛★ 版主帖子:4322 注册: 2004-02-22 来自:	发表于： 2008-05-07 09:28 \| 短消息资料字号：小中大 6楼回复: 所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米” 引用: 原帖由 sako 于 2008-5-7 7:01:00 发表这个名字比较经典苏大米！加载的DD挺多叔，它就是靠那个驱动sudami。sys活？？这个样本我也拿到了，我这里发现就释放了这个驱动，然后打开一个网页堕入黑暗里的可怜影子啊！诋毁伤害他人！充满罪恶的灵魂！想死一次吗？
★蓝色羽毛★ 版主帖子:4322 注册: 2004-02-22 来自:

凌枫宝宝拙长孩提狮帖子:137 注册: 2008-01-23 来自:	发表于： 2008-05-15 17:51 \| 短消息资料字号：小中大 7楼回复：所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米” 都是嚷的挺凶，真正有威力的病毒还是不多
凌枫宝宝拙长孩提狮帖子:137 注册: 2008-01-23 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2008-05-16 20:34 \| 短消息资料字号：小中大 8楼回复：所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米” 我倒了…… sudami那个驱动的意义，本来就是在加载后起作用的。用HIPS拦截，让它不能加载驱动，当然就不能发挥作用，也就没有了研究的意义了。更何况，这个驱动只是为了演示如何对付KV等杀毒软件的自我保护，包括还原众多的inline hook，搜索未导出的内核函数，或者自己实现内核函数的功能，等等。因此，从anti-rootkit的角度上，从对系统底层和杀毒软件HIPS原理的研究上来说，sudami的分析和尝试是有价值的。因此，这个程序没有考虑其他的比如如何过主动防御来加载驱动的问题，也不是针对SSM和TINY的。拦截掉它的驱动加载，与sudami所要讨论的技术内容，是牛头不对马嘴。更何况sudami不是写病毒的，只是一个系统内核编程的爱好者。这个程序也不是用来干坏事的，并不是实用形的病毒程序。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

zxiso 初生襁褓狮帖子:29 注册: 2007-07-07 来自:	发表于： 2008-05-17 21:37 \| 短消息资料字号：小中大 9楼回复：所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米” SSM没有FD
zxiso 初生襁褓狮帖子:29 注册: 2007-07-07 来自:

小企鹅S 锋芒艾服狮帖子:1980 注册: 2007-11-10 来自:南极	发表于： 2008-05-20 20:36 \| 短消息资料字号：小中大 10楼回复：所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米” 前苏联大米，有意思。它是以什么方法干掉杀软的？结束进程？干掉启动加载项？破坏注册表相关键值？
小企鹅S 锋芒艾服狮帖子:1980 注册: 2007-11-10 来自:南极

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT