» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【sysnap】原创Yas anti Rootkit中文版简单分析下微点. 欢迎测试下载   作者: 标题: 【sysnap】原创Yas anti Rootkit中文版简单分析下微点. 欢迎测试下载 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【sysnap】原创Yas anti Rootkit中文版简单分析下微点. 欢迎测试下载 Sysnap 反rootkit 生活的一切感受 男, 20岁 广东 【sysnap】我也谈下对主动防御系统的看法 http://bbs.micropoint.com.cn/sho ... mp;highlight=sysnap 【sysnap】轻松干掉"微点"和"IS'等（已封） http://bbs.micropoint.com.cn/sho ... mp;highlight=sysnap 【sysnap】Yas V1.22 anti Rootkit中文版 欢迎测试下载： http://hi.baidu.com/micropoint/b ... f7d4365d600874.html 软件简介: Yas Kit 是一款基于内核和底层技术的免费反黑辅助工具.它采用大量的内核技术和底层操作,让你可以轻松的找出病毒并且杀之...它适用于XP和2003系统..当然使用Yas Kit需要用户具备一定相关的知识... 注意: 一些主动防御系统会视为病毒.可以不理会之..还有NOD也会误报,添加信任程序就可以了 用yas kit简单分析下微点. 2008年12月24日 星期三 13:05 刚好没事,看点虚拟机以前下载的MP.安装了一下..顺便看它内部钩什么东西...干掉杀毒软件之类的事没什么兴趣..不过下面的一些说明也许你可以知道怎样去做.只是觉得意义不大...     下面的分析全都是靠自己对函数名的认识分析.....具体MP是不是这样实现的....我就不知道了 YAS目前不支持未导出函数检测....可能漏了其他...只是简单的看下..其他人可以继续补充啊： mp110031.dll拄入到很多进程..开个线程..具体做什么没去了解..不过可能是防止溢出或者自我保护之类的吧...里面的sharedata节放数据.. EAT HOOK.....看下面的图...前三个可能是用于组织你找到相关XXX摘掉它吧... OXXXByName这个用处多了....不过估计它是阻止你获取某些驱动对象....比如DISK/ATAPI....都需要用到这个函数....可以用来组织穿还原...或者文件防删等等,,,其实获取驱动对象也不一定要用到这函数....    MmUnMapViewOfSection....防止别人卸载它的DLL或者EXE达到结束进程 MmGetSystemRoutineAddress: 可能先把重要的地址换成自己的...再看调用该函数的目的...可以用来防止结束进程等....具体效果取决于具体函数 KeInsertQueueApc...防止进程被投APC结束贝..    IofCallDriver...拦截IRP...这个比较浅的...感觉基本没什么用....因为完全可以自己实现..最后一个函数..没用过...不清楚做什么    总的来说....EAT全局性比较好..实时性比较差..但MP开机就XX...功能还是比较强大的....弱点也是有的..很容易绕过...自己实现 MmGetSystemRoutineAddress不是什么难事.. MP没有拦截一般驱动加载..但会PATH你的IAT.... 下面前几个就是被它XXX了.... 还有它X了文件系统相关的.....比如MmFlushSection和IoCheckShareAccess都是用于文件保护的....这样你一般删除文件可能就不行了...当然还有很多地方...    IAT总的说...没有全局性...但有实时性....不错...当然缺点跟EAT一样...重要的函数可以不用在IAT里.... MP没有一般的HOOK SSDT/SHADOW....基本都是替换了CALL后面的地址.....这样的好处就是不容易恢复...也绕过了一般ANTI ROOTKIT的INLINE HOOK检测..... 下面的函数自己看就知道是怎么回事了....比如远程线程啊...全局钩子.打开进程啊...当然还有IoGetXX和其他....未导出的函数.....YAS不支持.... MP还会XXX加载驱动的DRIVER_OBJECT....具体做什么用...自己联想.... 嗯...还有下面的东西....用于监控的..还有其他的... 总的来说保护不错......但很多地方都漏了....被XXX也就容易了....只是动不动就把进程结束或者文件XX感觉也不是很好.....ROOTKIT怎样和谐的和 杀软相处..比较好点.. ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-12-26 20:21 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号