标题: 如果有被动攻击病毒，主动防御还能做什么？ [打印本页]

---

作者: s332212     时间: 2008-4-30 15:50    标题: 如果有被动攻击病毒，主动防御还能做什么？

如果出现一种不会主动攻击系统的病毒，只有在特定行为出现，才会被引发出现，加强某种病毒的功能。
1、本来几个独立的文件都不是病毒，但会因为某种行为的出现，使几个原来独立不是病毒的文件成为一个病毒。
2、不具备病毒功能，但却有指向错误，就是在网络中的ARP欺骗一样，一个不具备病毒行为的文件，对主动防御软件发出错误信息
A＝发出错误信息的文件
B＝真正病毒
C＝主动防御软件
当A发信息“B不是病毒，C是病毒“
那么C会不会不杀B而把自己杀掉？

---

作者: qq2008444     时间: 2008-4-30 20:53
首先
你要明白
行为分析技术是通过对程序所做行为可疑程度进行分析，您所说的“发出错误信息的文件”影响安防软件似乎不太可能
第二
你所说的“本来几个独立的文件都不是病毒，但会因为某种行为的出现，使几个原来独立不是病毒的文件成为一个病毒。”这个条件很苛刻。因为程序的每一个模块间都有独立的功能。只要它进行了非法程序行为，那么就有可能被截取后被判断为可疑程序

顺便说一句：上面的都是本人靠一定经验所猜测的结果，如果大家有不同意见，欢迎指正

---

作者: threeswords     时间: 2008-4-30 22:39
楼主其实是想说一个不算病毒的软件A向主动防御软件C发消息说你自己就是病毒，杀自己吧  呵呵

这个问题确实有点意思，熊猫烧香就是向杀毒软件发送消息使杀毒软件关闭。这个跟杀毒软件的自身防御能力有关。个人认为对主动防御来说，向它发送消息应该是被列入可疑动作的，如果是HIPS，这个行为肯定规则里就应该被禁止了。微点自然也会考虑到这个方面，这个技术对于高手来说估计很没技术含量了。

磁碟机就厉害多了，加载驱动，取得与杀软同级别的权限，这才是目前的主流呵呵

以下摘录一段话:
全文见：http://www.jxgdw.com/jxgd/ITYY/itxjq/userobject1ai783869.html

FindWindowA可以查找标题为特定字符串的窗口，或者指定的窗口类名，SendMessageA可以向找到的窗口发送消息，这本来为是多进程软件而服务的，结果也成了木马的伎俩。这好比计算机内部的“垃圾邮件”。
怎么说呢，FindWindow这个API可算是基本上没有起到多少好的作用，反而是个病毒几乎被会调用它来查找安全工具的窗口，调用它成功找到窗口后，直接一个SendMessage(hWnd,WM_CLOSE,0,0);，可爱的安全工具就这样被自己的关闭功能关闭掉了。当然也有不少病毒喜欢发一些垃圾消息．
但是IceSword等工具在经历了熊猫烧香的“垃圾邮件”折磨后，作者PJF终于将签有他大名的标签“pjf(ustc)”去掉了。其它安全工具也不断进行了防范。但是许多杀毒软件不并不能像IceSword那样使用随机的窗口名，所以被FindWindow搜索到依然是一个令人头痛的问题。

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn