Board logo

标题: 转帖--杀毒软件和病毒之间的那点事儿(其中谈到主动防御有漏洞) [打印本页]
作者: 微雨独行     时间: 2008-1-13 15:37    标题: 转帖--杀毒软件和病毒之间的那点事儿(其中谈到主动防御有漏洞)

这是嬴政论坛上的帖子,其中谈到主动防御有漏洞!



杀毒软件和病毒之间的那点事儿----建议受病毒困扰的朋友看看
作者--wdz_86

今天在论坛看到一个会员求网银病毒专杀
想想就用午休时间写了这篇入门级文章,相信嬴政的初级用户看了以后会对目前电脑的安全状况有个了解,帮助他们以后少中毒,或者说减少损失,大牛可以直接飘过,我在此献丑啦!转载请注明出处
===============================================
本文涉及到的演示使用Screen2Exe 1.2录制,绝不含病毒,本人以我3积分的ID做担保

转帖者按:可惜微点论坛无法上传RAR文件。
===============================================
文章就是解释几个问题
1.
杀毒软件有作用吗?
嬴政的人都知道

2.
杀毒软件的原理是什么?
就目前而言,杀毒软件的识毒机理都是“特征码识别技术”。通俗的讲,人有身份证,还有脸,你如果犯了事,被通缉,通缉令上就会贴你照片,警察叔叔抓到你以后会根据你的特征,跟确定要通缉的人对比,对的话,好,把你抓了;杀毒软件就是根据文件里面的某一段指令来识别病毒,对于可执行文件(exe)来说,指令是以16进制的字符存在的,你可以用Winhex打开一个exe来看看。


3.
特征码识别技术好使吗?
曾经非常好使,现在一般般。为什么这样说?
先介绍一个词语:免杀,所谓免杀就是把病毒里面的特征码给改了,就象人整容了,让杀毒软件人不出来,免杀并不是一个门槛很高的事情,导致大江南北,黑客、红客……都会,如果你会汇编的话你就知道 add eax,1 和sub eax,-1是等效的,免杀就是通过一些等效的方法达到绕个弯骗过杀毒软件的过程。

随着时间发展,互联网越来越发达,黑客类网站越来越多,搞得黑客和病毒产业也走向商业化,今天这个网站被DDOS了,明天谁的网游被盗了,作为用户来说,有可能他们装了“世界顶级的杀毒软件”但是还是中招,这就是为什么说现在不是十分好使了。


4.
实例演示
口说无凭,我来给大家演示一个免杀,让卡巴没反应

免杀测试录像.part1.rar
免杀测试录像.part2.rar

5.
关于主动防御
2008年还没到,各大杀软的2008版本都上市了,大家都强调:我们的软件可以主动防御,就差没跟你喊:我们的目标就是-----没有病毒!

主动防御其实就是行为查杀了,根据我的上网经验,首先由“微点”应用,微点就是刘旭的那个公司出的,比如说你撬了人家的锁,这个肯定是恶意行为了,主动防御的原理就跟这个一样,具体的说:某个程序企图注入IE的进程,某个程序企图偷偷的装驱动等等。

主动防御能救杀毒软件吗?
回答是:不能,先给大家演示一下,因为这个空说不好说

主动防御演示.part1.rar
主动防御演示.part2.rar
主动防御演示.part3.rar
看完了演示大家明白了,主动防御有漏洞!
漏洞就是SSDT,这个词语大家知道就行,专业的,不需要了解,通俗的说就是系统里比较底层的门槛,杀毒软件就在这个门这里站岗,你过去的时候需要检查你长的猥琐不猥琐还有有没有带受管制的东东。但是演示里面SSDT被恢复了,就相当于门卫被干掉了,显然,主动防御就失手了。接着我们运行一个木马,卡巴的主动防御就不报了,瑞星也类似,我测试过的。


6.
病毒的发展新趋势
(1)穿主动防御,驱动技术得到应用,偶就想,难道《undocumented windows 2000》他们都看懂了?
(2)感染系统文件,比如说把你输入法感染了,看你咋办,你运行了输入法就运行了病毒了,类似与熊猫烧香
(3)IFEO劫持,大家有没有遇到过,点击杀毒软件,只有一个DOS窗口跳了一下,就没反应了,这就是IFEO被劫持了,就是说你运行杀毒软件其实是运行了一个不存在的东东,甚至是病毒,IFEO是注册表里面的一个子键,本来微软是留给程序员调试的时候用的,结果被病毒利用了。
(4)穿防火墙,病毒除非只是破坏性的,一般都要链接网络的,而很多然装了防火墙,如果新建一个程序,然后用这个程序来联网,防火墙肯定会报,那么病毒就插入系统进程,看你放行不?比如说灰鸽子就插了IE进程。


7.
解决之道
既然杀毒软件靠不住,你总不能把宝都押在他那吧。你中毒了就重装系统?治标不治本
这个涉及到个人上网习惯问题,如果你每天只上嬴政,基本上你是不会中毒的,裸奔都没事,玩笑啦。

简单说一下我的理解

对于对电脑比较了解的用户,完全可以用HIPS代替杀毒软件的监控,目前没有能穿越HIPS的病毒,HIPS有SSM,犀牛,E盾,等等很多,没有用过HIPS的用户推荐开始用E盾,国产软件,免费,而且官方论坛有不少教程,容易上手。关于HIPS的知识大家google一下就有了

比较初级的用户呢,HIPS肯定嫌烦,那你还是用杀毒软件,但同时强烈建议你装影子系统或者Returnil Virtual System 中文版(免费,跟影子等效),只要上网就把影子开着,如果你上的网站不是很放心的话,重启再做重要事,比如说登录网银等等。

[ Last edited by 微雨独行 on 2008-1-13 at 15:46 ]
作者: baijian_8d     时间: 2008-1-13 15:53
装了影子,虽然重启就没有问题了。

=============
但是号已经被盗了,对盗号来说,几秒钟就可以了。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn