Board logo

标题: 『转贴』就熊猫的技术水平做一些澄清 [打印本页]
作者: 228879547     时间: 2007-6-17 19:14    标题: 『转贴』就熊猫的技术水平做一些澄清

从技术层面上讲,熊猫烧香实在是很低劣的东西。但是它的流行却反映出杀毒软件跟不上时代了,十年前的话,病毒与反病毒只是技术领域的一种交流性质的游戏,现在则变味了。
病毒的第一要旨是隐藏,隐藏就意味着它要尽可能地不改变系统,让用户觉得什么都没发生。单凭这点,熊猫烧香已经犯了病毒的大戒。
PS:提一下文中提到的MGF,是个工作在内核的病毒,用了一些相对新颖的进内核的技术,主要通过文件共享传播。


作为一个程序员,我相信还是有评价它的资格,这里我就提出我的一些看法:
第一,病毒必须能够隐藏自己,让用户不能轻易察觉自己中毒了,这一点熊猫很失败,它近乎以一种敲锣打鼓的方式告诉用户你已经中毒了。




第二,被感染的程序一定是可以运行的,就好象它没被感染过一样,这一点熊猫也没做到,不过在用户看来,这反倒成了他厉害的标志,因为破坏性大嘛,事实上,让被感染的程序能够继续运行是病毒编写的关键技术,也是学病毒开发最大的难点。

第三,病毒的破坏性和技术含量没直接的关系,事实上,一个初学者可以写出很有破坏性的程序,删除文件,破坏文件数据(也就是朝文件里写垃圾数据),格式化硬盘,关机,在普通用户看来是很有破坏性的,实际上这些破坏性的操作都是通过调用一个函数来实现的,简单来说,一行程序代码就可以解决。

第四,事实上很多技术水平相当高的病毒,反倒没什么破坏性,它们的目的只是展示自己的技术,虽然普通用户并不识货,但反病毒公司却知道它的技术含量,一样可以达到炫耀技术的目的,而且不会引起反感。前几年MGF病毒属于此例(相信该病毒的作者一定会活活气死,这么烂的熊猫病毒竟然出名了,我的病毒一点声响都没有),不过当时的杀毒软件公司给了MGF病毒很高的评价,只是它有意控制了破坏力,所以没引起用户的关注。

第五,现在流行隐藏进程的技术,也就是按下ctrl+alt+del键后查看进程管理器,你的进程在里面看不见,已经有了好几种隐藏进程的成熟的方法,会运用这些技术的人已经很多,而且作为一个病毒或者木马编写者,这一关是必须要过的,但熊猫似乎无法实现这一点,而是当用户打开进程管理器的时候,迅速地关闭它,让用户无法关闭进程,这是一种无可奈何的方式,也就是在作者技术的极限所采用的一种方式,但该方式怎么说呢,懂的人都知道它不入流(也许你会说我吹牛,不过你问问别的程序员就知道了)

第六,还有隐藏文件的方法,比较高级的方法有HOOK SSDT,该方法不算太好,但能做到这技术已经不错了,更好的是写文件系统过滤驱动,最好的是直接hook 文件系统驱动,肯定还有更好的办法,只是我还不了解而已,但我了解最差劲的一种办法,就是修改注册表,也就是熊猫所采用的办法,不过比较省事,几行代码可以解决。

第六,CPU一般工作在两种权限下,一种是ring 0,一种是ring 3,操作系统内核工作在ring 0,普通的应用程序工作在ring 3,如果运行在ring 0,就有了最高权限,可以对内核进行很多操作(或者说破坏),而ring 3的程序权限就少得多,所以取得ring 0权限也是病毒编写者追求的目标,也是技术的一种体现,当一个病毒编写者从来没进过ring 0,没人会看得起他,不过幸亏在ring 3也可以搞破坏,为什么呢,因为删除文件,修改图标,关闭窗口这些操作都不需要ring 0权限,所以熊猫就在自己能力范围内无所不用其极,给人印象是这家伙真厉害啊。

第七,有人说,这样的人才怎么会找不到工作呢,他找不到工作是对的,为什么呢,如果他找的是正规软件公司,比如做ERP实施啊,做OA啊,做GIS,做游戏开发啊,他是无法胜任的,因为他所学的技术和这些领域一点关系都没有,他如果真要找工作,就只有找杀毒软件公司,不过说实在的,杀毒公司知道它的病毒是什么技术,别人看不清,难道杀毒公司还看不清吗??要知道杀毒软件都是要写驱动程序的,都是要进入ring 0的,连ring 0都进不了,要你干什么??


看完后又学到了不少东西

[ Last edited by 228879547 on 2007-6-17 at 19:16 ]
作者: zn3300680     时间: 2007-6-17 19:47
学习了
作者: wkwx     时间: 2007-6-17 19:55
见识了
作者: Dr_Bo     时间: 2007-6-17 23:25
楼主说的有道理!!!
作者: qq2008444     时间: 2007-7-10 22:43
见识~
LZ佩服



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn