发表于: 2011-08-05 17:24 | 显示全部 短消息 资料
字号: 1楼

建议内核加固增加一项规则

  最近2012等的大家很着急,不过还是想要提一个2011的建议

  就是在内核加固中增加"修改目标进程的内存",尤其是系统进程以及信任的应用程序.

  之所以建议增加这个项目,原因有二:

    1.这是一项恶意程序经常利用的一项远程注入技术,能够完全掌握目标程序,使其成为傀儡,执行各种恶意行为;
      对于直接信任具有数字签名程序机制的防御软件更加是隐患,恰巧瑞星就是这样;

    2.木马防御能够在一定程度上防御这个行为带来的一系列后果,但是往往处理的不是很完美,
  会有一些多余的动作无法拦截干净,可以试试我给出的样本.


  瑞星在SSDT中均挂钩了类似NtWriteVirtualMemory的底层函数,相信实现难度不大;


  希望2012更加美好!

样本链接:http://bbs.kafan.cn/thread-1045563-1-1.html


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0