搞个数字签名就NB吗？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛搞个数字签名就NB吗？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

3 / 7 页

跳转页

[原创] 搞个数字签名就NB吗？

本主题由大版主 baohe 于 2009-12-28 23:03:02 执行设置高亮操作

产品加固快乐黄口狮帖子:182 注册: 2009-09-03 来自:	发表于： 2010-01-03 14:29 \| 短消息资料字号：小中大 21楼回复: 搞个数字签名就NB吗？引用: 原帖由天月来了于 2010-1-3 14:02:00 发表文件特征码如果匹配就算有数字签名的东西也一样喀嚓的。要不杀毒软件的误杀系统文件就不可能了？？谢谢天月来了回复及提醒！在没有安装第三方反病毒组件的视窗 xp 系统里能做到 “文件特征码如果匹配就算有数字签名的东西也一样喀嚓” ？一般说来，如果确认有操作系统厂商数字签名的系统文件也被反病毒系统错杀，问题往往出在反病毒厂商，毕竟伪造 CA 中心确认过的数字签名不是一件容易的事情，所以简单依据 “文件特征码匹配” 技术斩钉截铁地宣布可疑文件是病毒并 “喀嚓” 是不稳妥的。
产品加固快乐黄口狮帖子:182 注册: 2009-09-03 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-01-03 14:57 \| 只看楼主短消息资料字号：小中大 22楼回复: 搞个数字签名就NB吗？引用: 原帖由产品加固于 2010-1-3 13:49:00 发表 [quote] 原帖由 baohe 于 2010-1-3 13:26:00 发表 [quote] 请教 baohe ：在仅安装了 Rav/RIS 2010 + 卡卡反病毒系统并已联机升级的视窗 xp 上运行该样本结果如何？然后关闭 Rav/RIS 2010 所有防御及监控，甚至 Rav/RIS 2010 的核心防护组件也被关闭了，再运行样本结果如何？这个破东西被某厂家炒的神乎其神玩儿死它的办法不止一种（注意：那组策略不是专门针对这个病毒的）。看清楚了：我先把系统中的安全软件（RIS2010 和CA HIPS）全部关闭了。然后运行这个NB的家伙： 1.png (652.11 K) 2010-1-3 14:57:24 再来一招戏弄它（具体招数就不透露了）。运行环境：关闭安全软件监控，取消组策略设置；提权运行它。 3.PNG (404.11 K) 2010-1-3 15:11:11 直接把它和它生的那个“死孩子”扔进回收站（死得很难看） 4.PNG (178.09 K) 2010-1-3 15:11:11 baohe 最后编辑于 2010-01-03 15:11:11
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2010-01-03 15:02 \| 短消息资料字号：小中大 23楼回复 21F 产品加固的帖子我没说可疑文件哟我是说一个标准病毒，尤其是今年流行的木马病毒，并且其文件特征是所有杀毒软件已加库的。此情况下，单纯将那病毒文件加个数字签名，也是没用的，杀毒软件的传统文件监控一样会杀了那病毒的。至于单纯Windows系统自身能否阻止，不是默认就能阻止的，而是要设置合理的组策略百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2010-01-03 15:03 \| 短消息资料字号：小中大 24楼回复 20F 产品加固的帖子不是用户岂不是无须安装杀毒软件而是没哪个用户知道具体的如何设置自己的组策略那样的设置过程远超过杀毒软件的日常应用的复杂天月来了最后编辑于 2010-01-03 15:05:39 百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

产品加固快乐黄口狮帖子:182 注册: 2009-09-03 来自:	发表于： 2010-01-03 15:25 \| 短消息资料字号：小中大 25楼回复: 搞个数字签名就NB吗？引用: 原帖由 baohe 于 2010-1-3 14:57:00 发表引用: 原帖由产品加固于 2010-1-3 13:49:00 发表 [quote] 原帖由 baohe 于 2010-1-3 13:26:00 发表 [quote] 请教 baohe ：在仅安装了 Rav/RIS 2010 + 卡卡反病毒系统并已联机升级的视窗 xp 上运行该样本结果如何？然后关闭 Rav/RIS 2010 所有防御及监控，甚至 Rav/RIS 2010 的核心防护组件也被关闭了，再运行样本结果如何？这个破东西被某厂家炒的神乎其神[img]editor/images/smilies/kaka/face14.gif[/img] 玩儿死它的办法不止一种（注意：那组策略不是专门针对这个病毒的）。看清楚了：我先把系统中的安全软件（RIS2010 和CA HIPS）全部关闭了。然后运行这个NB的家伙：谢谢 baohe 回复及提醒！我们也是在贵网站置顶行看到贵帖链接并进入贵帖的，之前我们并不知道贵帖讨论的有关病毒样本的更多消息。请教 baohe 的问题是：在仅安装了 Rav/RIS 2010 + kaka 反病毒组件的视窗 xp 系统里，不知 baohe 能否先 “关闭 Rav/RIS 2010 所有防御及监控，甚至关闭 Rav/RIS 2010 的核心防护组件” 后再运行病毒样本？结果病毒样本还是无法运行起来？仍被操作系统提示 “ 应用程序正常初始化失败” 或 “此程序被组策略阻止” ？不管该病毒样本是否具有可验证的数字签名。谢谢！
产品加固快乐黄口狮帖子:182 注册: 2009-09-03 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-01-03 15:33 \| 只看楼主短消息资料字号：小中大 26楼回复: 搞个数字签名就NB吗？引用: 原帖由产品加固于 2010-1-3 15:25:00 发表在仅安装了 Rav/RIS 2010 + kaka 反病毒组件的视窗 xp 系统里，不知 baohe 能否先 “关闭 Rav/RIS 2010 所有防御及监控，甚至关闭 Rav/RIS 2010 的核心防护组件” 后再运行病毒样本？结果病毒样本还是无法运行起来？仍被操作系统提示 “ 应用程序正常初始化失败” 或 “此程序被组策略阻止” ？不管该病毒样本是否具有可验证的数字签名。在仅安装了 Rav/RIS 2010 + 卡卡反病毒系在XP和WIN7 中、在不同的条件下都分别运行过这个毒，结果没有本质区别。具体的，看附图。天月此前曾说此毒不能在WIN7 中运行。错误！它在WIN7 中可以运行。如果不信，天月可以自己在WIN7 下试试。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2010-01-03 15:34 \| 短消息资料字号：小中大 27楼回复：搞个数字签名就NB吗？ baohe已经没有现成的xp系统试给你看了他试的是7系统百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-01-03 15:35 \| 只看楼主短消息资料字号：小中大 28楼回复: 搞个数字签名就NB吗？引用: 原帖由天月来了于 2010-1-3 15:34:00 发表 baohe已经没有现成的xp系统试给你看了他试的是7系统别搞了。看你楼上回复。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2010-01-03 15:38 \| 短消息资料字号：小中大 29楼回复 28F baohe 的帖子呵呵！！我知道7系统可以运行啦，其他地方已见有不少人在不同系统内测试过这个数字签名的东西了百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

产品加固快乐黄口狮帖子:182 注册: 2009-09-03 来自:	发表于： 2010-01-03 15:39 \| 短消息资料字号：小中大 30楼回复: 搞个数字签名就NB吗？引用: 原帖由天月来了于 2010-1-3 15:02:00 发表我没说可疑文件哟我是说一个标准病毒，尤其是今年流行的木马病毒，并且其文件特征是所有杀毒软件已加库的。此情况下，单纯将那病毒文件加个数字签名，也是没用的，杀毒软件的传统文件监控一样会杀了那病毒的。至于单纯Windows系统自身能否阻止，不是默认就能阻止的，而是要设置合理的组策略 . 谢谢天月来了回复及提醒！原来是这样，如果病毒样本自己再额外加上个引导模块，在引导过程里再动态内存解码，这样的病毒有数字签名还会被阻止运行？特征代码的模式匹配是有前提的，病毒代码未被反病毒厂商提取并入库，查杀是困难的，查杀滞后的问题，解决颇为困难。视窗系统并非所有版本都有相对成功的安全组策略设置，对目前仍有广大用户的 xp/2k 版本而言，能否不借助第三方安全组件实现相对安全的计算环境？结果堪虑，要不视窗厂商也不会一并发布 Defender 等安全组件或服务了。
产品加固快乐黄口狮帖子:182 注册: 2009-09-03 来自:

<<上一主题|下一主题>>

3 / 7 页

跳转页

页面顶部

Powered by Discuz!NT