1   1  /  1  页   跳转

关于 主动防御 的畅想

关于 主动防御 的畅想

只是畅所欲言啊~

主动防御,也叫主机未知防御体系,可以防御未知的变种,现在变种是铺天盖地啊。。。。。
  程序控制,注册表控制,文件控制,杀毒软件,组成一个完整的系统
主动防御规则,如果再加入模式识别,就可以智能地判断哪些是恶意程序了,
这样的话我们病毒库的作用会越来越小,不过模式识别需要行为库。。甚至模糊判断。。。
复杂啊。。。脑袋越想越疼

上次看见爱你一个病毒玩法
把,冰刃,SRENG什么的改名,放到SYSTEM32目录下。再在注册表中搞个加载项做为服务加载,比如在USER INIT那儿加载
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><explorer.exe>  [(Verified)Microsoft Windows]
    <Userinit><C:\Windows\system32\userinit.exe,ice123.exe,sre123.exe>  [(Verified)Microsoft Windows]

一些针对瑞星的病毒,我们是不是也可以采用这种策略,让病毒无可奈何

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; TheWorld)
最后编辑天云一剑 最后编辑于 2008-07-07 16:38:20
分享到:
gototop
 

回复:关于 主动防御 的畅想

学长。。。。我没有学长
就是说,注册表位置虽然多但是病毒作者总会有办法啦
病毒为了让自己不起眼,会加壳压缩,这点瑞星动态脱壳很强大


下面还有,
干脆瑞星替换EXPLORER,或者整合到资源管理器
设置安全账户,非安全账户登陆,全部在虚拟的空间中运行
gototop
 

回复:关于 主动防御 的畅想

我们是畅想~,虽然现在不好实现,但我相信我们做地会越来越好

其实,只要我们整体素质上来了,病毒就没活路了
gototop
 

回复:关于 主动防御 的畅想

没有“完美”
但有“完美”这个词
我们现在畅想的是完美这个词~~~

整体素质不可能一下子很高,现在是初级阶段 ,只要会合理使用杀软和常用的工具,哪怕是知道该怎样求助,也会有不小的作用

很多求助贴都心急,又不可能都去看置顶的版规

得想想好辙
gototop
 

回复:关于 主动防御 的畅想

看了下邪恶八进制的文章,提到注册表监控的不足

先打开想要写入的键的上一层键,例如HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows | CurrentVersion,得到句柄后再使用这个句柄+Run来操作这个注册表,即可完全饶过瑞星的所谓“注册表监控”,写入注册表。
(2) 没有拦截ZwSaveKeyZwRestroeKey等方式写入注册表。该方法可以彻底饶过瑞星的注册表监控
(3) 没有拦截直接操作HIVE注册表方式
虽然瑞星拦截了ZwLoadDriver来阻止驱动加载,但是木马完全可以写入一个BOOT0的驱动注册表项,等待重启后自然启动,那就可以为所欲为了。

我想都已经解决了吧,那篇文章比较老,不过看看,挺可怕的

结束瑞星进程,是软肋啊
gototop
 

回复:关于 主动防御 的畅想

恩,这个虚拟环境现在实现得不少了,可是穿透虚拟的技术也会日渐更新啊
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT