1   1  /  1  页   跳转

[意见建议] 对防范白加黑的探讨

对防范白加黑的探讨

对于白加黑 过主防的 问题

白文件 即 带有 签名的 正常 EXE


带有签名的 exe  加载 病毒 dll




看了 卡饭的讨论




认为 可以 通过 exe 加载 dll 时 ,对这两个文件 进行云验证 ,若dll 是正常的




则 自动放行,不再弹窗询问!!!


这样就可以 防御 白加黑的 过主防问题了,这是个人理解 ,不过要做 云信誉 ,即服务器保存大量的文件信息,主要是安全信息 ,这一点 卡巴 诺顿 都有,希望瑞星也有!!!

下面是卡饭的网友观点 :


金山现在最新版还是用硬编码的方式获取那个什么内核分发函数的地址


只要是白名单软件的库文件名就特别检查一下运行环境


AVG通过对比写入的代码,发现该木马所有进程间的注入代码都是Boot.ldr文件中保存的二进制代码,只是通过进程启动时的参数来控制程序的流程,以实现不同的功能。

用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.92 Safari/537.1 LBBROWSER
最后编辑shulun743 最后编辑于 2013-09-10 21:42:04
君素雅达,必不致令我徒劳往返也
分享到:
gototop
 

回复 1F shulun743 的帖子

建议已收集。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT