56103
新手上路
积分 6
发帖 6
注册 2009-8-25
|
#1 为什么微点总是让人家逆过来逆过去的啊
[原创]微点主动防御软件_逆向_idb2009年08月24日 星期一 13:34sudami
2009/08/24
--------------------------------------------------
"微点主动防御软件" 算是一款比较强悍的主防程序,用到许多非常猥琐\先进又产品级的技术.它在2005年就已被研发出来,只是没多少人关注,但防范未知病毒木马的能力确实非常强悍.在2008年11月份,我大致看了下它包含的13个驱动, 逆了一部分,从中学到了部分知识,但只是冰山一角.后来由于种种原因,没再碰它了. 奉上以前逆向的部分成果,供参考!
从本资料中您可能获取到如下某些技巧:
1. 加密解密函数
2. IAT HOOK / EAT HOOK / 深度Call Hook / Inline Hook / (Shadow)SSDT Hook及其复杂的处理
3. 部分win32k.sys中的未公开结构及其微点对ShadowSSDT中为公开函数的引用/处理
(比如判断窗体的合法性,并进行可疑度打分)
4. 栈回溯的无所不用其极的极致发挥 / 栈劫持来回滚木马的危害行为
5. 自定义的结构体中的评分机制
6. 瞬间HOOK及其摘除Hook的技巧
7. 对远程线程注入的防范原理
8. 对驱动加载的拦截点及其原理
9. 一种巧妙的混淆IDA的花的运用
10. 驱动间的数据交互 / 内核DLL技术
11. 如何判断当前程序行为的可疑度
12. etc...
2
MJ0011 2009年08月24日 星期一 14:39 | 回复 很快,但内容很少啊~
要关注的不是HOOK技巧和处理技巧,而是总体结构和处理。从你的分析来看,对比现在版本,微点的HOOK变化不多,SHADOW上的比较弱,SSDT上的也不是很全面。
微点难道对自己的东西不加密么?就跟美军的技术领先全世界无人可以企及一样
这帮人能搞明白你的东西 这个世界上就有很多人能搞明白 他们搞明白了你的弱点 拿来对付网民该怎么办呢?
| |
※ ※ ※ 本文纯属【56103】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2009-8-25 16:30 |
|
寻找飞鹰
银牌会员
积分 3138
发帖 3142
注册 2009-6-30
|
#2
程序这东西想不被逆是很难的!!除非不流传出去!
| |
※ ※ ※ 本文纯属【寻找飞鹰】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-8-25 16:47 |
|
56103
新手上路
积分 6
发帖 6
注册 2009-8-25
|
#3
可靠的加密算法 让你用巨型机100年逆向不出来就可以了 不是么?
| |
※ ※ ※ 本文纯属【56103】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-8-25 16:49 |
|
kihiuyhjgh
禁止发言
积分 159
发帖 163
注册 2008-12-15
|
#4
要想人不知 除非己莫为
怕这 怕那的。你就别出来办软件!
我朋友自己开发一个软件世界无敌(他自己研究的技术)
没有流传市面(所以效果很好) 没有过他的免杀~
| |
※ ※ ※ 本文纯属【kihiuyhjgh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-8-25 17:35 |
|
mj0011_2
禁止发言
积分 86
发帖 109
注册 2008-12-14
|
#5
加密会影响产品稳定性,提高产品的问题追踪成本
做为商业产品,一般是不会加密的。
而且微点已经不加密放出来了,除非全部重新开发一套,否则要加密也晚了
| |
※ ※ ※ 本文纯属【mj0011_2】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-8-25 23:09 |
|
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
|
|
2009-8-25 23:22 |
|
56103
新手上路
积分 6
发帖 6
注册 2009-8-25
|
#7
sudami
[大型*野地猪*]
级别: 核心会员
精华: 16
发帖: 698
声望: 48 点
DM币: 128 元
贡献: 0 点
注册时间:2007-10-23
最后登录:2009-08-25
...
某些xx的驱动 比微点更难搞...
都是操作内存数据+N级指针+自定义大结构 .
喝N壶都不见得...
MJ0011
我是乖娃娃
级别: RCT成员
精华: 27
发帖: 1722
声望: 75 点
DM币: 5588 元
贡献: 0 点
注册时间:2007-06-04
最后登录:2009-08-25
微点算是很容易逆向的了,没有复杂的数据结构和算法,作者意图也很容易理解。
| |
※ ※ ※ 本文纯属【56103】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-8-26 01:23 |
|
56103
新手上路
积分 6
发帖 6
注册 2009-8-25
|
#8
MJ0011
我是乖娃娃
级别: RCT成员
精华: 27
发帖: 1722
声望: 75 点
DM币: 5588 元
贡献: 0 点
注册时间:2007-06-04
最后登录:2009-08-25
其实如果是为了穿越主防的话,根本不需要研究新的方法,就现有的方法,市面上存在的主防几乎就没有防御得完美的,只要稍微花上几分钟看一下,就可以标准方法完美绕过
你们的东西人家几分钟就绕过 为什么这么脆弱 况且还是收费 看来我们网民都是花钱买的安慰啊
| |
※ ※ ※ 本文纯属【56103】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-8-26 01:30 |
|
56103
新手上路
积分 6
发帖 6
注册 2009-8-25
|
#9
killvxk
级别: RCT成员
精华: 7
发帖: 1131
声望: 43 点
DM币: 1035 元
贡献: 0 点
注册时间:2007-02-02
最后登录:2009-08-25
无用,user权限,驱动已经byebye了~~
我现在只用改名法就过了无数精英hips
新一期的非主流软件技术培训班招生计划开始了~
Posted: 2009-04-25 21:22 | 28 楼
| |
※ ※ ※ 本文纯属【56103】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-8-26 01:35 |
|
56103
新手上路
积分 6
发帖 6
注册 2009-8-25
|
#10
xyzreg
级别: 核心会员
精华: 0
发帖: 51
声望: 1 点
DM币: 153 元
贡献: 0 点
注册时间:2007-02-19
最后登录:2009-08-25
如果HIPS本身没有判断,对于只要执行相关函数就报的BT类愣头青HIPS,除非用0day,否则较难搞。但目前AV们的主动防御模块为了减少提示都或多或少的做了些判断,所以有很多空子可钻,别的不多说,ZwLoadDriver本身就有空子钻...
| |
※ ※ ※ 本文纯属【56103】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-8-26 01:38 |
|
