1   1  /  1  页   跳转

[求助] 建议内核加固增加一项规则

建议内核加固增加一项规则

  最近2012等的大家很着急,不过还是想要提一个2011的建议

  就是在内核加固中增加"修改目标进程的内存",尤其是系统进程以及信任的应用程序.

  之所以建议增加这个项目,原因有二:

    1.这是一项恶意程序经常利用的一项远程注入技术,能够完全掌握目标程序,使其成为傀儡,执行各种恶意行为;
      对于直接信任具有数字签名程序机制的防御软件更加是隐患,恰巧瑞星就是这样;

    2.木马防御能够在一定程度上防御这个行为带来的一系列后果,但是往往处理的不是很完美,
  会有一些多余的动作无法拦截干净,可以试试我给出的样本.


  瑞星在SSDT中均挂钩了类似NtWriteVirtualMemory的底层函数,相信实现难度不大;


  希望2012更加美好!


样本链接:http://bbs.kafan.cn/thread-1045563-1-1.html


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
分享到:
gototop
 

回复:建议内核加固增加一项规则

添加这项 检测  没有任何难度,瑞星2008就有这个监控项了

不过 后来版取消了!!!

gototop
 

回复:建议内核加固增加一项规则

该建议已反馈相关部门,感谢您对瑞星的支持!
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT