对抗 rootkit的思路 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星杀毒软件2011 对抗 rootkit的思路

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] 对抗 rootkit的思路

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2011-05-13 14:22 \| 显示全部短消息资料字号：小中大 1楼对抗 rootkit的思路微软的 mse 和 Emsisoft Anti-Malware 6.0 Beta的杀软在扫描和监控时采取直接操作硬盘的方式来对抗 rootkit 1、启用物理磁盘解析，对抗 rootkit 2、文件系统解析(“Rootkit Revealer”方式扫描） 3、能够通过在系统启动过程中创建的两个系统镜像，分别记录系统核心初始化阶段时驱动载入前和载入后的情况。核心模式下创建的镜像中包括系统服务，能够利用特殊的标记进行识别。通过比较两个镜像，就可以判断系统在启动阶段是否被修改以及何处被修改。根据这些数据，可以检测和清理系统中存在的rootkit。总结：：：用物理磁盘和文件系统解析加上卡巴的比较两个镜像来，这种综合手段来对抗 rootkit http://bbs.kafan.cn/thread-969728-1-1.html http://bbs.ikaka.com/showtopic-8925450.aspx http://article.pchome.net/content-1327271.html 用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; InfoPath.1; SE 2.X MetaSr 1.0) shulun743 最后编辑于 2011-05-13 14:28:18
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	分享到：

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2011-05-13 14:39 \| 显示全部短消息资料字号：小中大 2楼回复：对抗 rootkit的思路正如我们所知道的，目前主流anti-rootkit检测隐藏文件主要有两种方法，一种是文件系统层的检测(像IceSword自己构造irp包发到文件系统驱动)，另一种就是磁盘级别的低级检测，直接对磁盘的数据进行分析,比如SnipeSword、filereg和unhooker. 最近对第二种方法的一部分(及NTFS文件系统的解析)做了一些学习，于是就写点学习的东西与大家分享，其中有很多错误和不足希望大牛们指出。 http://www.ixpub.net/thread-874913-1-1.html shulun743 最后编辑于 2011-05-13 14:40:05
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT