12   1  /  2  页   跳转

关于 主动防御 的畅想

关于 主动防御 的畅想

只是畅所欲言啊~

主动防御,也叫主机未知防御体系,可以防御未知的变种,现在变种是铺天盖地啊。。。。。
  程序控制,注册表控制,文件控制,杀毒软件,组成一个完整的系统
主动防御规则,如果再加入模式识别,就可以智能地判断哪些是恶意程序了,
这样的话我们病毒库的作用会越来越小,不过模式识别需要行为库。。甚至模糊判断。。。
复杂啊。。。脑袋越想越疼

上次看见爱你一个病毒玩法
把,冰刃,SRENG什么的改名,放到SYSTEM32目录下。再在注册表中搞个加载项做为服务加载,比如在USER INIT那儿加载
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><explorer.exe>  [(Verified)Microsoft Windows]
    <Userinit><C:\Windows\system32\userinit.exe,ice123.exe,sre123.exe>  [(Verified)Microsoft Windows]

一些针对瑞星的病毒,我们是不是也可以采用这种策略,让病毒无可奈何

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; TheWorld)
最后编辑天云一剑 最后编辑于 2008-07-07 16:38:20
分享到:
gototop
 

回复: 关于 主动防御 的畅想



引用:
原帖由 天云一剑 于 2008-7-7 16:28:00 发表
把,冰刃,SRENG什么的改名,放到SYSTEM32目录下。再在注册表中搞个加载项做为服务加载,比如在USER INIT那儿加载
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><explorer.exe>  [(Verified)Microsoft Windows]
    <Userinit><C:\Windows\system32\userinit.exe,ice123.exe,sre123.exe>  [(Verified)Microsoft Windows]

一些针对瑞星的病毒,我们是不是也可以采用这种策略,让病毒无可奈何


这些招数---------------病毒作者玩儿剩下的。

更进一步:连userinit.exe都给你换掉(这类病毒并不罕见)。
最后编辑baohe 最后编辑于 2008-07-07 21:01:15
gototop
 

回复:关于 主动防御 的畅想

学长。。。。我没有学长
就是说,注册表位置虽然多但是病毒作者总会有办法啦
病毒为了让自己不起眼,会加壳压缩,这点瑞星动态脱壳很强大


下面还有,
干脆瑞星替换EXPLORER,或者整合到资源管理器
设置安全账户,非安全账户登陆,全部在虚拟的空间中运行
gototop
 

回复: 关于 主动防御 的畅想



引用:
原帖由 天云一剑 于 2008-7-7 21:07:00 发表
学长。。。。我没有学长
就是说,注册表位置虽然多但是病毒作者总会有办法啦
病毒为了让自己不起眼,会加壳压缩,这点瑞星动态脱壳很强大


下面还有,
干脆瑞星替换EXPLORER,或者整合到资源管理器
设置安全账户,非安全账户登陆,全部在虚拟的空间中运行



理论上,可行。但是实际做起来就难了,就是微软自己,也未必能做到无缝的结合,更何况是没有源码的瑞星!!
其实杀软和病毒之战,现在已经转入了专家对专家的局面了,现在作病毒的,绝对不是小混混,而是大军阀,水平普遍不低!杀软能干的,病毒也能干。

一点点的激情,一点点的执着,让我一步一步的走入了自己梦寐以求的行业。从一个学校里年少轻狂的孩子,成为了一名信息安全的研发工程师。从只知道写代码,真正开始慢慢的去思考、设计和实现一种技术、一种算法、一个模块、一个软件乃至一个系统。
人生本来就该不断的追求梦想,不断的跨过一个又一个不可能穿越的鸿沟。别人看来,我很疯狂,但我笑了,人生能有几回疯?真正疯狂的人是不计后果的向前冲的,至少我还不是。我所想的,只是别人不敢想的。我所做的,只是别人不敢做的。一个一个虚无缥缈的事物,都必须是有一个一个疯狂的人逐渐的具体和完善。但愿我是这样的人,我只愿做这样的人。
gototop
 

回复:关于 主动防御 的畅想

我们是畅想~,虽然现在不好实现,但我相信我们做地会越来越好

其实,只要我们整体素质上来了,病毒就没活路了
gototop
 

回复: 关于 主动防御 的畅想



引用:
原帖由 天云一剑 于 2008-7-8 15:04:00 发表
我们是畅想~,虽然现在不好实现,但我相信我们做地会越来越好

其实,只要我们整体素质上来了,病毒就没活路了


病毒没活路了,瑞星也没活路了,正如狼和羊的关系,是互相促进的。
想法不错的,微软为什么要出杀软?值得深思。有一个东西叫做垄断,还有一个东西叫做门槛

一点点的激情,一点点的执着,让我一步一步的走入了自己梦寐以求的行业。从一个学校里年少轻狂的孩子,成为了一名信息安全的研发工程师。从只知道写代码,真正开始慢慢的去思考、设计和实现一种技术、一种算法、一个模块、一个软件乃至一个系统。
人生本来就该不断的追求梦想,不断的跨过一个又一个不可能穿越的鸿沟。别人看来,我很疯狂,但我笑了,人生能有几回疯?真正疯狂的人是不计后果的向前冲的,至少我还不是。我所想的,只是别人不敢想的。我所做的,只是别人不敢做的。一个一个虚无缥缈的事物,都必须是有一个一个疯狂的人逐渐的具体和完善。但愿我是这样的人,我只愿做这样的人。
gototop
 

回复:关于 主动防御 的畅想

没有“完美”
但有“完美”这个词
我们现在畅想的是完美这个词~~~

整体素质不可能一下子很高,现在是初级阶段 ,只要会合理使用杀软和常用的工具,哪怕是知道该怎样求助,也会有不小的作用

很多求助贴都心急,又不可能都去看置顶的版规

得想想好辙
gototop
 

回复:关于 主动防御 的畅想

看了下邪恶八进制的文章,提到注册表监控的不足

先打开想要写入的键的上一层键,例如HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows | CurrentVersion,得到句柄后再使用这个句柄+Run来操作这个注册表,即可完全饶过瑞星的所谓“注册表监控”,写入注册表。
(2) 没有拦截ZwSaveKeyZwRestroeKey等方式写入注册表。该方法可以彻底饶过瑞星的注册表监控
(3) 没有拦截直接操作HIVE注册表方式
虽然瑞星拦截了ZwLoadDriver来阻止驱动加载,但是木马完全可以写入一个BOOT0的驱动注册表项,等待重启后自然启动,那就可以为所欲为了。

我想都已经解决了吧,那篇文章比较老,不过看看,挺可怕的

结束瑞星进程,是软肋啊
gototop
 

回复:关于 主动防御 的畅想

  我的设想是把未知的东西放到一个虚拟环境中试运行,避免对系统造成伤害,虚拟环境中智能判断该未知的东西 安全情况。这些未知东西可以包括程序甚至行为。
gototop
 

回复:关于 主动防御 的畅想

恩,这个虚拟环境现在实现得不少了,可是穿透虚拟的技术也会日渐更新啊
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT