微点交流论坛

标题: 关于APC插入代码扫描技术的一点想法 [打印本页]

作者: killvxk 时间: 2008-9-8 13:35 标题: 关于APC插入代码扫描技术的一点想法

对于APC插入可以通过拦截XX函数拦截，然后对插入的userApcRoutine做检查，看看是不是shellcode,甚至启发扫描这个东西。

最近看到国外有个什么什么不出名的防火墙，做个扫描处理，检查不存在userApcroutine直接放过，再检查返回地址是不是自己和某些必插APC的东西的，放过一批，然后检查插入的userAPCRoutine内容是否含有坏特征,有就报警~

成功拦截了很多驱动样本...

不错的功能，希望微点能增加上~
耗时上，基本取决于特征的多少

作者: 点饭的百度空间 时间: 2008-9-9 09:02
:)很棒的建议上报微点研发

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn