» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【shineast】防御：利用APC代码注入Ring3强杀微点（严重）   作者: 标题: 【shineast】防御：利用APC代码注入Ring3强杀微点（严重） 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【shineast】防御：利用APC代码注入Ring3强杀微点（严重） 2009年01月20日 星期二 下午 03:00 昨天不小心发现了一个ring3结束微点的办法， 论坛中有人认为没有实战价值，哈哈！我很无语。。。 要知道以后的病毒木马，运行起来做的第一件事就是杀掉或失效掉杀软，这一点从目前流行的病毒木马行为分析就可以看出来，我就不多说了。一句话——自我保护做不好何谈保护系统？ 今天说说如何防御，其实很简单，最简单的办法就是把 NtDuplicateObject 和 NtQueueApcThread 勾住。 勾住 NtDuplicateObject 可以不让ring3程序偷走 被保护进程的句柄； 勾住 NtQueueApcThread 是为了不让恶意程序插入APC到被保护进程。 思路就是这样，下面看看我的效果： shineast_Active_Defense_Software_v1.7.3主动防御软件下载：http://shineast.ys168.com/ 回顾08年 展望09年 有5天就过年了，越是到过年跟前，越感觉不好，我个人还是喜欢平时。估计也有人和我一样吧，哈哈！ 新的一年即将来到，就像编程中一个模块的写完。在这个时候，我觉得有必要回顾一下08年，展望一下09年。就像对一个模块的单元测试，同时梳理一下整体架构，看看下一个模块要注意哪些问题。 08年的这个时候，我开始着手做我的主动防御软件，目前整整一年过去了，从6月份开始有第一版出现到现在，已经更新了18个版本了。 这个是我的毕设题目，是我自己选择的。这就意味着，我需要一个人独立的完成这个程序，当然了毕设不可能几个人一起搞，更何况是研究生毕设。很多同学认为毕设毕设，做做而已，差不多能毕业就行了，不必太认真。即便是认真，也只是在理论上认真，不顾及实际意义，甚至实际中根本没法用。我不这样认为，我倒认为：毕业设计应该有一定的理论创新，但是这种理论再玄妙也不能脱离实际，实践是检验真理的唯一标准！我正是抱着这样一种态度，我极力要求自己的程序不仅要有理论创新，更要有实际意义。否则我没法做到无愧于心！ 从理论来说，我主张基于程序行为来防御病毒木马，我把行为分为三种：正常行为、可疑行为、危险行为。简单的说，这就类似人类社会中一个人的行为。例如我杀了一个人，这就是危险行为；我偷了一个钱包，这就是可疑行为；我吃了一碗饭，这就是正常行为。事实上计算机是和人类社会是有共通之处的，很多东西可以类比。那么人类社会是如何制约和管理人们的行为的呢，很简单，《刑法》和《民法》，依法治国。《刑法》就是来管理危险行为的；《民法》就是来管理可疑行为的。当然我这样类比不免有不妥之处。不过这样想来，似乎把计算机病毒木马防御的问题简单化了，如果能简简单单的解决问题，何尝不是一个好办法呢！为什么一定要把问题搞得过于复杂呢？！那么如果我的思路可行的话，首先要面对的就是找出，危险行为和可疑行为，否则如何来制订计算机上的《刑法》和《民法》呢？为此我正在努力。。。 从技术来说，很多东西都是欠缺思考，越是细节，越是困难。再强大的东西也担心细微之处的琢磨。昨天我就发现微点在Ring3下可以被强杀的漏洞，也许是疏漏，也许是欠缺细节之处的思考。总之要做好一个真正强大的杀软，技术绝对是基础。我的软件也需要不断夯实，不断完善。。。 说了这么多，算是对我软件的有慨而发吧，虽然一个人做程序很累，但是过程中可以完整的学习到很多，体会到更多。 再说说找工作吧，08年金融危机，大家明显感到找工作的压力，不过我个人感觉还好，能得到面试官和公司的重视，我觉得非常欣慰和自豪。然而想想自己是否足够牛逼呢，未必，因此好需要更加努力。不过从找工作的过程来看，我觉得要想立于不败之地，自己必须要有特色，不一定要什么都会，但是一定要有自己非常精通的东西，什么都了解等于什么都不了解，以后的计算机行业不需要你什么都会，而需要你一定要有你所精通和非常擅长的领域。否则难以得到重视。另外要提高自己的情熵，更要有自己的思想和观点，还要有准确的分析事物的能力。 说到《黑客防线》，08年写了半年，下半年基本没写一篇，种种原因吧，主要是自己觉得没什么技术创新，写来写去，误人子弟。07年写的那些漏洞分析还是记忆犹新，08年开始搞内核、驱动，没怎么搞漏洞分析和挖掘，有愧于我要将“漏洞挖掘进行到底”的决心。不过09年我也许要开始做点有技术创新的东西，再搞点漏洞挖掘的东西，偶尔会写几篇供大家让砖头吧！ 08年开始认真写百度Blog到现在，认识了很多朋友，每天可以看到好友的文章，学习到很多东西，正所谓处处留心皆学问，希望大家09年能更好的、充分的交流学习。 08年末还收了实验室里的2个大四的徒弟，也不知道如何教他们，总之把我知道的，精通的教给他们，引入门吧，彻底杜绝那些学院派的科研思想，做一点切实的研究，玄之又玄的理论，我想还是慎重思考吧，除非能证明那些理论的实际意义。 09年希望自己能工作顺利吧，和女朋友不要吵架，踏踏实实的学习，做点有价值的东西。身体健健康康的，心情高高兴兴的。 [ Last edited by 点饭的百度空间 on 2009-1-20 at 18:12 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-1-20 18:10 matrixsky 注册用户 积分 56 发帖 56 注册 2007-4-1 #2   支持楼主。沙发。楼主好样的。 ※ ※ ※ 本文纯属【matrixsky】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-1-20 21:03 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #3   谢谢楼主的反馈和支持，您提供的相关信息我们会具体分析，如果您发现此类样本请压缩加密发到virus@micropoint.com.cn我们会具体测试分析。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2009-1-21 10:32 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号