瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

12   1  /  2  页   跳转

所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

在SSM面前,它徒有虚名。


用户系统信息:Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件附件:

文件名:a.jpg
下载次数:1314
文件类型:image/jpeg
文件大小:
上传时间:2008-5-5 22:50:18
描述:jpg
预览信息:EXIF信息



分享到:
gototop
 

回复:所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

一个没加载的.sys,就是个待拍的黄瓜(用IceSword删除即可)。

附件附件:

文件名:c.jpg
下载次数:1172
文件类型:image/jpeg
文件大小:
上传时间:2008-5-5 22:52:51
描述:jpg
预览信息:EXIF信息



gototop
 

回复:所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

呵呵!!

总是一开始的防护工作没做好。

所以SSM现在越来越不被看好。

应该还是个人使用电脑对软件的影响较大吧。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

这个名字比较经典

苏大米!

加载的DD挺多

叔,它就是靠那个驱动sudami。sys活 ??
gototop
 

回复:所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

我的电脑里有thumb.dl的病毒,还有几个类似回收站图标样式的病毒,用什么办法可以删除啊?我的瑞星根本就杀不了。谢谢啦!
gototop
 

回复: 所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”



引用:
原帖由 sako 于 2008-5-7 7:01:00 发表
这个名字比较经典

苏大米!

加载的DD挺多

叔,它就是靠那个驱动sudami。sys活 ??


这个样本我也拿到了,我这里发现就释放了这个驱动,然后打开一个网页
堕入黑暗里的可怜影子啊!诋毁伤害他人!
充满罪恶的灵魂!想死一次吗?
gototop
 

回复:所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

都是嚷的挺凶,真正有威力的病毒还是不多
gototop
 

回复:所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

我倒了……
sudami那个驱动的意义,本来就是在加载后起作用的。
用HIPS拦截,让它不能加载驱动,当然就不能发挥作用,也就没有了研究的意义了。

更何况,这个驱动只是为了演示如何对付KV等杀毒软件的自我保护,包括还原众多的inline hook,搜索未导出的内核函数,或者自己实现内核函数的功能,等等。

因此,从anti-rootkit的角度上,从对系统底层和杀毒软件HIPS原理的研究上来说,sudami的分析和尝试是有价值的。

因此,这个程序没有考虑其他的比如如何过主动防御来加载驱动的问题,也不是针对SSM和TINY的。拦截掉它的驱动加载,与sudami所要讨论的技术内容,是牛头不对马嘴。

更何况sudami不是写病毒的,只是一个系统内核编程的爱好者。这个程序也不是用来干坏事的,并不是实用形的病毒程序。
gototop
 

回复:所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

SSM没有FD
gototop
 

回复:所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”

前苏联大米,有意思。它是以什么方法干掉杀软的?结束进程?干掉启动加载项?破坏注册表相关键值?
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT