微点交流论坛

标题: 微点，杀毒界的前沿............. [打印本页]

作者: koo 时间: 2008-12-23 16:21 标题: 微点，杀毒界的前沿.............

微点，杀毒界的前沿.............

说微点是杀毒界的前沿一点也不为过，可能我说了这句话有可能会遭到其他杀毒厂商的大骂，不过没关

系，咱慢慢说。

关于微点的技术俺就不重复说了，不了解的去微点网站去看（在多啰嗦一句，行为判断病毒），微点的

这种技术可能在某些人眼里说什么老技术了，什么API HOOK那些偶不懂，呵呵，偶就知道微点是能处理

未知病毒，未知木马，再重复我说过的一句话：万里长城一块一块的石砖垒起来的，那石砖也是没啥技

术含量，砌一下就行，但是人家能用石砖垒砌万里长城！

记得我第一次听说微点还是一件比较丢脸的一件事，就是原来在福建某公司去面试，老总机器中毒了，

让偶看下，我看了下说你系统没装杀毒软件啊?那个老总说装了，装的微点，你不知道吗？那个时候偶可

是第一次听说微点，我脸红了一下，说没听过，那个老总说微点是新一代的杀毒软件，和其他的杀毒概

念不同，有空看下。结果我也没有在那个公司上班，直到过了半年后我在一家其他的公司上班后偶尔想

起了微点，就去了微点官方网站看了下，看了很多关于微点的介绍（自己去看吧，偶就不复制微点的技

术原理了）

自从那开始之后偶机器出现了微点的影子，开始用微点不怎么习惯，用了一年多现在用的还挺顺手，再

改用杀毒软件不怎么习惯了，因为杀毒软件不能分析我系统的使用情况，微点能分析的一清二楚。

好了，扯了半天每说正题，现在杀毒界需要处理的是什么问题？对于已知的病毒我们是不恐怖的，恐怖

的就是未知病毒不知道会带来什么，一个系统漏洞能造成一堆的机器中毒，就比如上次闹得挺厉害

MS08067，有的叫扫荡波，我去哪个地方哪个企业都有这种问题，都有这种漏洞造成的隐患，所以严重的

恐怖，目前我们知道杀毒厂商有杀毒软件，防火墙等还有一些其他的辅助的一些软件，能解决这种问题

吗？有的专业防网页挂马等，我们机器不能安装一堆的类似于这种防护软件吧？何况安全软件之间的冲

突可能会造成系统崩溃，或者有可能会造成彻底失去作用！

我就问问病毒或者木马到底要做什么？是不是要在你机器里住下来盗你的账号密码来控制的你计算机？

只要知道这些就可以了，不管是IE挂马也好还是溢出攻击也罢，目的我们知道了，只是手法繁杂。

目前我们知道的杀毒软件基本都是靠特征来辨别，虽然也添加了防火墙，对网页浏览也有保护等，但是

往往还中木马出现账号丢失？其实只要把复杂的问题简单化，那样我们就更容易理解了。

刚说了，病毒、木马的目的就是为了盗号为了让黑客控制，这是他的根，微点是根据行为来分析的，什

么是行为？病毒和木马也是软件，只是和其他软件不同而已，说白了软件在计算机上都有行为，只是木

马和病毒的行为和其他软件不同而已，所以利用他们的行为来治理，这样是不是就找到我所说的根了呢

？当然微点也不可能拦截100&的病毒或木马，只要他能解决目前我们对我们的安全威胁能更提高一个档

次就可以了。何况微点不只是能防御病毒和木马，针对溢出也很有功底！不相信大家可以下一个MS08067

公布之前的微点，去试下就知道了。针对计算机安全而言（注意是个人计算机，千万别给我扯什么防御

ARP欺骗），拒绝病毒木马，拒绝溢出那对系统已经解决了相当大的安全隐患了。

说句题外话，总比那些靠文件名来杀毒的好吧？（对号入座）

我为什么不能在福建那个安全公司工作呢？对于安全来说，不能了解安全最新的东西那是做安全最大的

失误，多多了解一些新的东西对我们做技术的来说还是有好处的。

多啰嗦一句

忘了谁说的了...

第一代杀毒产品：病毒卡（就是升级是问题，需要厂商用软盘去升级）
第二代杀毒产品：杀毒软件（这个大家就熟悉了，解决了第一代升级问题，也做了很多花样）
第三代杀毒产品：主动防御（解决了第二代杀毒软件不能处理未知病毒未知木马的问题）
第四代杀毒产品：多年后再续.............

上次在微点官方论坛和MJ0011大吵一架，骂了我半天脑残，还说能弄一万个可以过微点的木马，如果你

看到后请先弄一个能过微点的木马，赶紧给我发过来我运行下看看你能控制不，千万别我双击一下微点

进程没了，跟上次那傻子做的软件一样，是谁我就不说了，那不是木马，那是恶意软件！看把你得瑟的

！

作者: mingjiao5 时间: 2008-12-23 16:30
楼上的说的洋洋道理，顶了，哥们也支持微点。现在公司大部分机器装的是麦咖啡，不过，从昨天开始，我都不定时的给换装上微点了。不过，听一个同事说，以前的微点无法卸载，不知道是真是假，因为我的机器也是刚刚装上的，挺好的，不想卸了

[ Last edited by mingjiao5 on 2008-12-23 at 16:33 ]

作者: snhao 时间: 2008-12-23 16:59
楼主受累了。

作者: 点饭的百度空间 时间: 2008-12-23 19:02 标题: “微点不是世界最佳，但没人强过他。”

好文建议加分转载谢谢分享！

作者: 心随风落 时间: 2008-12-24 14:38
看出了端倪，累啊

作者: mj0011_2 时间: 2008-12-24 14:48
有人在我的BLOG贴连接，路过笑一笑~

我觉得自己太冲动了~和这么个完全不懂的家伙说了半天~呵呵

作者: 心随风落 时间: 2008-12-24 14:57
越来越明显，马脚就是这样露出来的

走，买票，看戏去了！

作者: mj0011_2 时间: 2008-12-24 15:01
楼上的，装神秘是没用的~

作者: 心随风落 时间: 2008-12-24 15:05
看戏还需要装么？

只需要坐着，吃着好吃的，看戏不就OK？

难道LS的看戏买了票还躲着看？

作者: mj0011_2 时间: 2008-12-24 15:05
TEST程序不是不愿意放，而是没必要放出来增加微点的垃圾HOOK点~

随便一提，XCON2008上我发布的tophet.a就可以绕过一切所谓的“主动防御”，当然，它不但也可以绕过所有防御软件，也可以在任何检查软件下隐身，对付微点是有点杀鸡用牛刀了~

这里透露一点技术实现方法：使用ideport的passthrough或ring3 io法写磁盘修改启动选项，然后通过ntldr的backdoor加载自身（此时windows内核根本还没加载，更别提微点的那些破驱动了），加载到内核后隐身，通过直接IO操作netcard和harddisk来实现 backdoor功能

楼主这种完全不懂的就算了，微点论坛上懂技术的可以进来说说，这种程序，微点能防吗？哈哈~~

作者: aquaos 时间: 2008-12-24 16:18
mj大牛终于爆了点tophet的东东。

作者: 点饭的百度空间 时间: 2008-12-24 16:35
哈哈~ 为什么不能防？样本扔出来

一种基于NTLDR的BOOTKIT──原理及实现

前言：XCON2008将于不日召开，其间国内外安全界之高手将云集席间，共享中国安全界这一盛会。吾自学计算机以来从网络受益颇多，或换言之，若无网络便无今日我对计算机知识的了解。吾近来研究NTLDR的结构和功能略有所得便随手做了个基于NTLDR的BOOTKIT，正想写篇相关文章回馈互联网，也正如安全焦点的LOGO所说"From the Internet, For the Internet"，而恰好这时又侧耳听闻MJ0011将在此次XCON上发布它的高级Bootkit Tophet.A，吾虽对Tophet略有耳闻，但未睹其真面目，这次吾对Tophet也是翘首以待，在一睹Tophet真身以前，吾发现很少有相关 BOOTKIT的文章，也未见任何源代码，便决心写下这篇文章，一为回馈滋养了我多年的网络;二也为这次XCON的召开推波助澜。

一.简介
二.NTLDR的HOOK
三.内核的加载与定位
四.对内核做HOOK
五.在内存里搭个狗窝
六.把自己挂上去
七.源代码
八.尾声

一.简介

先简要介绍一下我这个BOOTKIT吧，我这个BOOTKIT是基于NTLDR的文件型BOOTKIT，NTLDR是winNT系列内核的 Osloader，当开机以后BIOS载入MBR，MBR载入DBR，然后DBR载入NTLDR，并将执行权转交给它，它再来启动内核。所以NTLDR是最接近内核的，而且对它做HOOK，可以避免编写针对各种类型外设的代码，提高通用性。总的来说，我的BOOTKIT有以下几个特点：
1.ring3下就可完成hook(改写NTLDR)
2.注入内核的代码没有内存大小限制，也无需自己读入代码
3.BOOTDRIVER驱动初始化时加载（依情况而定，也可hook内核其它地方）
4.理论上可以hook各种版本ntldr
5.理论上可以引导各个版本nt内核和内存相关boot.ini参数（嗯，你的内核得能用ntldr启动才行）
暂时没有对PAE内核，x64和内存相关BOOT.INI参数提供支持。我的调试环境是Bochs、Vmware、Windbg、Win2000 sp4、WinXp sp2、Win2003 sp1。汇编工具是C32ASM。本文牵涉到Windows x86的段页式内存管理、Windows地址空间布局结构、PE文件结构和汇编的知识，本人在写作本文时假设您已经了解了这些知识。

二.NTLDR的HOOK：

要做NTLDR的BOOTKIT，当然，我们首先面临的问题就是如何对NTLDR做HOOK？要对NTLDR做HOOK，那就首先要对 NTLDR的文件结构有所理解才行。我大致说一下它的结构和功能，NTLDR是由两部分构成，一部分是被称作Su Module（Startup）的16位汇编代码，另一部分则是名为Osloader的PE文件。Su module位于NTLDR的头部，Osloader紧随其后。DBR将NTLDR加载到物理地址2000:0000开始的地方，然后跳转到这个地址，将控制权交给NTLDR进行引导，而这个地址也就是Su的入口。Su的主要功能是为Osloader准备内存环境，包括GDT、IDT、打开保护模式（未分页）和将Osloader按编译时的虚拟地址移动Osloader等等。在MP（多处理器）版本的NTLDR中，Su还有一件事情要做，就是检测 Osloader的完整性，如果它检测到NTLDR被修改，那么，嘿嘿，这句话送给你“NTLDR is corrupt.The system cannot boot.”为了兼容windows 2003，我的DEMO就是用这种版本的NTLDR做的，由于我太懒，就没有研究这部分了，我绕过它的办法就是把它切了——我用没有校验的Su替换了它 ——我是不是很黄很暴力？嗯，我想是有那么点！

再讲讲Osloader，它的作用比较复杂，说的简单点就是为内核准备执行环境，然Osloader会根据boot.ini的设置将 windows内核、hal.dll和其它Boot Driver加载进内存。有关NTLDR更详细的结构和功能，请读者参看有关资料。

了解了NTLDR的大致结构和功能。好，接着我们来看一下我们HOOK NTLDR所存在的问题？首先就是该在哪下手，理论上你可以在任何一个地方下手（废话），但是接下来你该跳转到哪里呢？茫茫内存，我该如何走啊，我又在人生的道路上迷路了。。。靠！所以先要选个老巢，执行HOOK CODE之后，才能让CPU有个地方可以去。我选择将CODE放在Osloader里，没错，Su会按SECTION的地址重定位Osloader，这样我们就可以很轻松地定位我们CODE的地址。我的做法就是直接用工具在Osloader里新建了一个节，将所有XX都放在了里面。兜了个圈子，我们回来，我们到底要在哪下手呢？因为我们的根本目的是要HOOK内核，所以执行我们CODE的时候，内核要已经被加载进了内存。那我们怎么知道在哪内核已经被加载进了内存呢？根据我对NTLDR的分析，在将控制权转给内核之前，Osloader会调用这个函数──BlSetupForNt，这个函数的会最后做些设置的收尾工作，包括剪裁页表。有个函数有个P用啊？要定位它的位置啊！嗯，所以我在这个函数里面找到了这个特征码：
mov eax, cr3
mov cr3, eax (机器码：“0F 20 D8 0F 22 D8” )
这段代码是用来flush TLB的。这段代码在我能找到的NTLDR里都出现过了，眼看就可以下手了吧，我很遗憾的告诉你，我不只在一处找到了这串特征码，并且有在内核加载之前调用的也有在内核加载之后调用的。为了顺利HOOK内核，所以我在CODE里加了保护性代码，通过这段代码你几乎可以在任何完整指令处进行HOOK。你可以下很多HOOK，不过得有一个是在内核加载之后执行的。利用这段特征串能比较方面的找到HOOK点。

在我制作DEMO的过程中发现“0F 20 D8 0F 22 D8” 串会集中出现在文件头的部分和文件尾的部分，建议只HOOK文件尾的串。我使用"call RVA"共5个字节的指令来实现跳转。

PS:Osloader位置的确定可以直接搜索特征值"MZ", "PE"。

三.内核的加载与定位

当控制权顺着hook code，转移到这一步的时候，如上所言，我们必须确定内核是否加载。我第一个想到的办法就是硬编码内核一个地址，然后测试这个地址是否有效，这个办法是可行的，因为同一个NTLDR总会将内核加载在同一个地址。但是这样的通用性不高，ring3下面的工作会增加。为了使DEMO具有较高通用性，我使用了暴搜的方法，从可能的加载地址：VA0x80400000~0x81000000。为了不致引起page fault，首先必须从PDE搜索起，再确定PTE是否有效，然后测试MZ、PE标志，最后ImageSize的大小要大于0x150000（也就内核这么大了），这是为了避免其它PE文件影响结果，像Osloader。

四.对内核做HOOK
这个时候整个内核就在我们眼前了，但是我们还不能直接动手，因为我们现在CODE所在的内存会在内核初始化的时候被清洗掉，所以我们还要 HOOK一次EntryPoint。为什么？这个道理就像我们站在了一座宝库门口，但是我们偏偏没有一把打开宝库的钥匙，而这把钥匙会出现在内核的 EntryPoint里。这把钥匙就是内核入口函数KiSystemStartup的参数──LoaderBlock。
这是一个类型名为LOADER_PARAMETER_BLOCK的指针。它的结构如下：

Author: inghu
EMail: jack.xlt@gmail.com
Site:  http://hi.baidu.com/inghu
Date: 2008-11-1

我们通过LdrEntry就可以找到BootDriver的EntryPoint，对它做inline hook就可以了。这里要注意三点：1.只有Flags为某个值时，它才会被初始化（或者说这个BootDriver的DriverEntry函数才会被调用）; 2.由于加载的驱动会被搬移到内存高地址，所以要做inline hook； 3.这个时候驱动还没有relocate，所以某些间接寻址的代码会被修改，所以要找一个代码不会被修改的值。我使用了7个字节来call我的代码（mov eax, xxxxxx; call eax;），所以要保证这7个字节不会修改。

我在win2k的某个驱动中找到了这样的代码段：
55                   PUSH EBP
8BEC                MOV EBP,ESP
83EC 10             SUB ESP,10

XP中：
8BFF                MOV EDI,EDI
55                   PUSH EBP
8BEC                MOV EBP,ESP

只要inline hook这样的驱动就可以保证不会在relocate后，执行乱七八糟的代码了。

如此，一扇通向我们狗窝的金灿灿的大门就做好了，你就等着大摇大摆到宝库里往自己窝里搬东西好了。。。

七.源代码

说了这么多废话，也不知道您听明白没有，没有？！直接看src，这才是硬道理！

以下这段代码是直接从我的DEMO上取下来的，因为所有代码都是一句句像debug一样敲进去的，所以就没有那么好看，不要怪我啊!这段代码成功引导了 win2k sp4， winxp sp2， win2003 sp1， wrk等内核，不支持PAE内核和VISTA，还有一些与内存有关的boot.ini的参数也不支持。至于DEMO，由于是直接改的M$的NTLDR，牵涉到xx问题，就不公开发表了。

八.尾声：

关于BOOTKIT有很多种实现，虽然此篇也是BOOTKIT，但使用的技术却很常规，本文也意在讲述后半程技术（如何映射内存和 HOOK内核），以求更为巧妙的技术出现。比如本人就想尝试HOOK NTDETECT.COM和将某类型的网卡做成PCI BOOT CARD，限于精力也只是形成了想法，欢迎有兴趣的朋友一起交流。最后，还是祝各位enjoy yourself吧，玩得开心！

//*********************本人功力尚浅，其中错误难免，还望读者不吝赐教****************************
//********本文纯属技术交流，本人不对任何因使用本文所述之技术和代码引起的任何问题负任何责任*****
//**************************本文可以随意转载，但请保留版权信息*********************************
//********文中提到的所有数据结构均搜集于Internet，本文所述之原理均*****************************
//********来自于本人对NTLDR和NT内核分析的笔记还有Internet，再次感谢网络！！！！****************

//=================技术是把双刃剑，既可杀敌也可防敌，至于是杀是防全看用剑之人==================

作者: mj0011_2 时间: 2008-12-24 16:48
你可以问问微点的工程师能不能防~哈哈

你贴的那个只不过是基础级的bootkit, 没法和完备的TOPHET相比~

作者: koo 时间: 2008-12-24 17:55

Quote:

Originally posted by mj0011_2 at 2008-12-24 15:05:
TEST程序不是不愿意放，而是没必要放出来增加微点的垃圾HOOK点~

随便一提，XCON2008上我发布的tophet.a就可以绕过一切所谓的“主动防御”，当然，它不但也可以绕过所有防御软件，也可以在任何检查软件下隐身， ...

我说你笨你真笨，我说你蠢你就对号入座，你知道吗，现在欧阳锋刻苦钻研出了一种新功夫，叫蛤蟆窜地功，欧阳锋说了，我只用蛤蟆功你们就不行，我这蛤蟆窜地功不会给一般人看的，因为你们都不行，不配看..............

你感觉你说这个有用吗？按照你的说法那些大叔大妈是不懂的，你这么一说这个他们不懂，当然我也不懂，但是我这个人只知道现实，你拿出来我看看行不？

套用本山叔叔一句话，你别整那没有的行不，拿出点东西来说话行不。

你那叫纸上谈兵吧？

微点防不了，那360能嘛？

作者: mj0011_2 时间: 2008-12-24 18:04
脑残就是脑残，思维跟别人都不一样~呵呵

欢迎某人再出来客观评论一下~

作者: koo 时间: 2008-12-24 18:11

Quote:

Originally posted by mj0011_2 at 2008-12-24 18:04:
脑残就是脑残，思维跟别人都不一样~呵呵

欢迎某人再出来客观评论一下~

又来了，你丫不说脑残能挂啊，你把你说那什么玩意看似很深奥的玩意给我发过来看下行不，我求你了，我运行下看看啥效果行不，放心，我机器挂了跟你没关系，就算爆炸造成人身伤害我也不要求你啥，我就求你给我发过来，谢谢你了，亲爱的MJ

作者: mj0011_2 时间: 2008-12-24 18:14
懒得和脑残继续纠缠~想要BIN？花钱上XCON看去~
哦，忘了貌似不卖票给楼上这种脑残的~

作者: koo 时间: 2008-12-24 18:24

Quote:

Originally posted by mj0011_2 at 2008-12-24 18:14:
懒得和脑残继续纠缠~想要BIN？花钱上XCON看去~
哦，忘了貌似不卖票给楼上这种脑残的~

所以我说你整这纸上谈兵的玩意没用啊，你又不肯放出来，我们又不知道，你说你说这玩意是找骂啊还是想让人羡慕你啊？
微点搓，在你看来微软也很搓，那么多漏洞，一个月一堆，或许在你看来任何软件都很搓，但是你就是不能给我们大家一个不搓的软件来，哎。你说你。

我都不知道该怎么给你说了，对你我很无语。

作者: mj0011_2 时间: 2008-12-24 18:27
给脑残解释是最费劲了~

微点的工程师也知道，根本轮不上用tophet.a，微点中可bypass的地方简直太多了~

象楼主这种不懂装懂的脑残反而跟他说不通哈哈

随便说几个：
例如不拦截加载驱动，只要进了RING0，任何主动防御都是没用的~

再例如不能对抗wow handle注入，不能对抗hotpatch 注入，等等，这些都是比较猥琐的~
简单的方法也应该是一堆，不过没时间研究，就不随便乱说了~
微点就象一张破网，漏洞太多了~为什么没有人关注呢，因为用户量太小了~
等微点什么时候发展到360或者瑞星的用户基数，就会发现在木马的攻击下他的那一点点小hook是多么的脆弱和不堪一击~

又说了一堆话，最后一回了，以后不能再教育楼主这种脑残，简直就是对牛弹琴啊~

作者: mj0011_2 时间: 2008-12-24 18:27

Quote:

Originally posted by koo at 2008-12-24 18:24:

所以我说你整这纸上谈兵的玩意没用啊，你又不肯放出来，我们又不知道，你说你说这玩意是找骂啊还是想让人羡慕你啊？
微点搓，在你看来微软也很搓，那么多漏洞，一个月一堆，或许在你看来任何软件都很搓，但 ...

好东西是要给懂的人~你什么时候听说把一个0DAY给个脑残的啊~我看你才是找骂的~

作者: mj0011_2 时间: 2008-12-24 18:35
就从楼主那脑残的语气，低劣的文笔和混乱的逻辑看来，此人的大脑真的有严重问题~

我觉得他小时候脑袋被驴踢过的可能性非常的高啊

作者: koo 时间: 2008-12-24 18:42

Quote:

Originally posted by mj0011_2 at 2008-12-24 18:27:

好东西是要给懂的人~你什么时候听说把一个0DAY给个脑残的啊~我看你才是找骂的~

晕，我刚放了个鞭炮此人又来骂了，你说了这么半天能不能给我一个程序让我运行下看看，这是最简单也最直接了，你说能过微点的一大堆，能不能给我一个啊，我就要一个就行，你丫怎么就这么费劲，我发现给他说这些东西太累了，给他说就说不明白......... 是不是小时候大脑被驴踢了？

作者: snhao 时间: 2008-12-24 18:47
好久没在论坛看到这么活跃的气氛了,真过瘾.

[ Last edited by snhao on 2008-12-24 at 18:59 ]

作者: mj0011_2 时间: 2008-12-24 18:52

Quote:

Originally posted by koo at 2008-12-24 18:42:

晕，我刚放了个鞭炮此人又来骂了，你说了这么半天能不能给我一个程序让我运行下看看，这是最简单也最直接了，你说能过微点的一大堆，能不能给我一个啊，我就要一个就行，你丫怎么就这么费劲，我发现给他说 ...

哎~对牛弹琴，脑残太可怕了

作者: mj0011_2 时间: 2008-12-24 18:52

Quote:

说了半天了，告诉你好东西不给脑残了，你怎么连你是脑残这个一个清晰的事实都认识不到？我看你小时候脑子不光给驴踢过，还给门夹过，而且不止一次~

作者: koo 时间: 2008-12-24 19:24

Quote:

Originally posted by mj0011_2 at 2008-12-24 18:52:

说了半天了，告诉你好东西不给脑残了，你怎么连你是脑残这个一个清晰的事实都认识不到？我看你小时候脑子不光给驴踢过，还给门夹过，而且不止一次~

你不给东西，你又说能过，你说这玩意干嘛呢？就像我上次说的，欧阳锋练了新功夫，人家不知道到底有没有啊？他就是不给人家看，说你们不配看，就不给你们看，看你们能咋地.............

我真服了你了

作者: mj0011_2 时间: 2008-12-24 19:26
脑残，你又回来了啊，谁说我不给东西了啊，我说了多少遍了你这个驴脑子怎么就是听不懂啊？我不给东西XCON上谁给的东西，你是脑残所以不给你啊

作者: mj0011_2 时间: 2008-12-24 19:30
跟脑残说话真没意思啊~说句话半天都不懂

托这个脑残的福，我深刻地体会到了什么叫做对驴弹琴~

但是这个脑残光会说“你给个东西啊，你给个东西啊”，微点论坛上的脑残越来越没劲了，一点都不好玩啊！还是上次那个搞系统集成的脑残比较好玩！

过平安夜去了~

作者: koo 时间: 2008-12-24 19:39

Quote:

Originally posted by mj0011_2 at 2008-12-24 19:26:
脑残，你又回来了啊，谁说我不给东西了啊，我说了多少遍了你这个驴脑子怎么就是听不懂啊？我不给东西XCON上谁给的东西，你是脑残所以不给你啊

我真不想理你了，你不给东西你说你放了这么P干嘛？有用吗？

作者: koo 时间: 2008-12-24 19:40
好好的平安夜让这脑残给缴了........

作者: mj0011_2 时间: 2008-12-24 19:44

Quote:

Originally posted by koo at 2008-12-24 19:39:

我真不想理你了，你不给东西你说你放了这么P干嘛？有用吗？

东西不给你因为你是脑残

恩，我觉得没用，因为你这个脑残明显小时候被驴踢过脑袋外加被门夹过，所以完全是对驴弹琴，我承认对你这种终极脑残，说什么都没用。你已经傻逼得超越人类极限了，恭喜恭喜

另外，话说以前搞系统集成的那个脑残呢？他什么时候回来，我觉得他还有点救，有空我可以给他开导开导，你就算了，你脑残得没治了

作者: koo 时间: 2008-12-24 19:49

Quote:

Originally posted by mj0011_2 at 2008-12-24 19:44:

东西不给你因为你是脑残

恩，我觉得没用，因为你这个脑残明显小时候被驴踢过脑袋外加被门夹过，所以完全是对驴弹琴，我承认对你这种终极脑残，说什么都没用。你已经傻逼得超越人类极限了，恭喜恭喜

另 ...

说了半天给你一点总结，光放屁不拉屎.........

大家感觉下是不是我总结的很好？

作者: mj0011_2 时间: 2008-12-24 19:50

Quote:

Originally posted by koo at 2008-12-24 19:49:

说了半天给你一点总结，光放屁不拉屎.........

大家感觉下是不是我总结的很好？

说了半天给你总结一点，脑残外加脑子被驴踢过再加被门夹N次~

你这个脑残看着以为是XXXX,微点的工程师可不这么认为啊，他们比你这个脑残好了，他们看了觉得心惊胆跳啊哈哈

作者: koo 时间: 2008-12-24 19:55

Quote:

Originally posted by mj0011_2 at 2008-12-24 19:50:

说了半天给你总结一点，脑残外加脑子被驴踢过再加被门夹N次~

你这个脑残看着以为是XXXX,微点的工程师可不这么认为啊，他们比你这个脑残好了，他们看了觉得心惊胆跳啊哈哈

跳不跳那是他们的事，我就看事实，你咿咿呀呀了半天就是没事实给我们大家看，你说你咿咿呀呀的干嘛呢？

好好的一个平安夜让这脑残给搅得这么不开心！

作者: mj0011_2 时间: 2008-12-24 19:56

Quote:

Originally posted by koo at 2008-12-24 19:55:

跳不跳那是他们的事，我就看事实，你咿咿呀呀了半天就是没事实给我们大家看，你说你咿咿呀呀的干嘛呢？

好好的一个平安夜让这脑残给搅得这么不开心！

我都说过无数遍对驴弹琴了，你这个驴能不能有点觉悟？

我说了那么多关键点，微点的工程师只要用点心就能知道他们的问题在哪

我为什么要放BIN？拿去给他增加HOOK点吗？你当我跟一样是脑残啊？

至于你，我为什么要给你？你是脑残啊大哥！

你有点觉悟行不行啊？

你是哪根葱啊，你拿个镜子照一照你一个脑残有什么资格来跟我叫板啊？有什么资格找我要BIN啊？你有点脑残的觉悟好不好？

作者: koo 时间: 2008-12-24 19:59

Quote:

Originally posted by mj0011_2 at 2008-12-24 19:56:

我都说过无数遍对驴弹琴了，你这个驴能不能有点觉悟？

我说了那么多关键点，微点的工程师只要用点心就能知道他们的问题在哪

我为什么要放BIN？拿去给他增加HOOK点吗？你当我跟一样是脑残啊？

至于你， ...

是谁跟谁叫板啊，让大家说说，是你一进来就骂人，还说我叫板，是你放了半天P说这个这个那么那么厉害，可是我就是没看见多么多么厉害的玩意，我不找你要我怎么知道有多么多么厉害呢？你大脑真有问题啊？自己去面壁去！说了半天就是不开窍！

作者: mj0011_2 时间: 2008-12-24 19:59

Quote:

所以说你就是个小时候被驴踢过的脑残啊，你脑残别扯上大家啊~大家都看懂了，不做声了啊，你看不就你个脑残还在这里叫个不停吗？

作者: mj0011_2 时间: 2008-12-24 20:01

Quote:

Originally posted by koo at 2008-12-24 19:59:

是谁跟谁叫板啊，让大家说说，是你一进来就骂人，还说我叫板，是你放了半天P说这个这个那么那么厉害，可是我就是没看见多么多么厉害的玩意，我不找你要我怎么知道有多么多么厉害呢？你大脑真有问题啊？自 ...

我都让你有点觉悟了，你如果稍微有点觉悟就明白，为什么只有你这么一个脑残在这里叫个不停，因为只有你一个人脑残得超越极限，这么厉害都看不到~

作者: mj0011_2 时间: 2008-12-24 20:02

Quote:

大家快看啊，脑袋被驴踢过的脑残反而说别人大脑有问题了啊~

作者: koo 时间: 2008-12-24 20:05

Quote:

Originally posted by mj0011_2 at 2008-12-24 20:01:

我都让你有点觉悟了，你如果稍微有点觉悟就明白，为什么只有你这么一个脑残在这里叫个不停，因为只有你一个人脑残得超越极限，这么厉害都看不到~

....... 对面你这脑残我发现我真无语了，就会放P不拉屎的人我有什么好说的呢？

你说你原来有没有说过周鸿祎是流氓过？说心里话，要对得起自己的良心。

作者: mj0011_2 时间: 2008-12-24 20:08

Quote:

Originally posted by koo at 2008-12-24 20:05:

....... 对面你这脑残我发现我真无语了，就会放P不拉屎的人我有什么好说的呢？

你说你原来有没有说过周鸿祎是流氓过？说心里话，要对得起自己的良心。

我说过你是脑残，这点我承认，我知道揭露这个事实让你很不好受，但是我们要尊重事实

另外看个帖子：
http://bbs.micropoint.com.cn/sho ... mp;highlight=%2Bkoo

原来这种那脑残也可以说什么“主动防御”，“杀毒界”，“前沿”~

作者: koo 时间: 2008-12-24 20:11

Quote:

Originally posted by mj0011_2 at 2008-12-24 20:08:

我说过你是脑残，这点我承认，我知道揭露这个事实让你很不好受，但是我们要尊重事实

另外看个帖子：
[url]http://bbs.micropoint.com.cn/showthread.asp?tid=22297&fpage=1&highlight=%2Bkoo[/ur ...

那是我朋友用我的ID发的，你感觉我不会进注册表吗？
我一会就揍他去，用我ID发这贴，你不说我还不知道。

作者: mj0011_2 时间: 2008-12-24 20:12

Quote:

Originally posted by koo at 2008-12-24 20:11:

那是我朋友用我的ID发的，你感觉我不会进注册表吗？
我一会就揍他去，用我ID发这贴，你不说我还不知道。

恩，这台阶下得好

作者: mj0011_2 时间: 2008-12-24 20:13
楼住，你也不要自卑，虽然你是个脑残，而且脑残得超乎寻常。

但我们还是会将你做为一个人类来看待，你可以有自己的人生

例如可以去申请吉尼斯世界第一脑残，然后赚点奖金，安慰下你的父母，以免他们因为你太过脑残而伤心欲绝~

作者: koo 时间: 2008-12-24 20:21

Quote:

Originally posted by mj0011_2 at 2008-12-24 20:13:
楼住，你也不要自卑，虽然你是个脑残，而且脑残得超乎寻常。

但我们还是会将你做为一个人类来看待，你可以有自己的人生

例如可以去申请吉尼斯世界第一脑残，然后赚点奖金，安慰下你的父母，以免他们因为你太 ...

360的人就是会骂人，不错，改天我也去360公司面试，学学人家那骂人的技术，就是不一样，自己只放P不拉屎还骂人家脑残.........

我看你是应该可以去申请吉尼斯世界第一放P不拉屎的记录，因为你天天干这玩意，这个奖项非你莫属，其他人都不行的，那些奖金应该给你现在挣的多。

作者: mj0011_2 时间: 2008-12-24 20:22

Quote:

Originally posted by koo at 2008-12-24 20:21:

360的人就是会骂人，不错，改天我也去360公司面试，学学人家那骂人的技术，就是不一样，自己只放P不拉屎还骂人家脑残.........

我看你是应该可以去申请吉尼斯世界第一放P不拉屎的记录，因为你天天干这玩意 ...

下面是总结性发言；

楼主，他虽然是一个脑残，但是他以脑残之躯体，还坚持在这里发帖，让大家见识到微点论坛里，没有最残，只有更残的道理，他这种脑残精神还是值得表扬的，希望微点论坛里的其他脑残以楼主为目标，向他学习。

楼主，虽然小时候脑袋被驴踢过，还被门夹过，可是，他坚强不屈，为了向我们显示他异于常人的脑残，坚持平安夜还守在这里发帖，这是什么样一种精神，这是一种崇高的傻逼精神！让我们向楼主致敬!!

作者: mj0011_2 时间: 2008-12-24 20:22
占领50楼~

50楼以后请楼主脑残继续发表他的脑残言论，大家试目以待！！！

下面是总结性发言；

楼主，他虽然是一个脑残，但是他以脑残之躯体，还坚持在这里发帖，让大家见识到微点论坛里，没有最残，只有更残的道理，他这种脑残精神还是值得表扬的，希望微点论坛里的其他脑残以楼主为目标，向他学习。

楼主，虽然小时候脑袋被驴踢过，还被门夹过，可是，他坚强不屈，为了向我们显示他异于常人的脑残，坚持平安夜还守在这里发帖，这是什么样一种精神，这是一种崇高的傻逼精神！让我们向楼主致敬!!

作者: koo 时间: 2008-12-24 20:28

Quote:

Originally posted by mj0011_2 at 2008-12-24 20:22:

下面是总结性发言；

楼主，他虽然是一个脑残，但是他以脑残之躯体，还坚持在这里发帖，让大家见识到微点论坛里，没有最残，只有更残的道理，他这种脑残精神还是值得表扬的，希望微点论坛里的其他脑残以楼主 ...

在怎么也没你强，你放P不拉屎这是技术，别人干不了的，其实你可以写书了，取名应该叫怎么放p不拉屎能赢得世界轰动！

到时我会买一本的

作者: koo 时间: 2008-12-24 20:41
挺好的一个贴，让这个脑残给闹成这个了，我真是心痛，摆脱此脑残别再来搅我帖子了，气死我了

作者: 独孤不平 时间: 2008-12-24 23:07
路过，mj不厚道，什么不写扇区不写固件不过dbr rk的的rk，原来就这样。。。mj别没事干总骂人脑残，真正的脑残在这里，脑残002友情不特约路过。。。。还有一堆乱七八糟的话不重复了，写某点饭的百度空间blog了，想看自己去看吧

作者: 独孤不平 时间: 2008-12-24 23:37

Quote:

Originally posted by 客观评价MJ0011 at 2008-12-24 23:32:
1.“摆脱此脑残”52楼字都打错了~

2.54楼劝你不要跟风，那个吉尼斯怎么这么多人想要？

今天不高兴，我骂自己是脑残和别人没有什么关系。。。。。既然谁都不愿意做脑残，这脑残两个字就给我吧，最起码是个个性ID。。。。。

作者: zhanguomoushi 时间: 2008-12-25 00:05
平安夜不平安啊？
有什么好吵的？
人活得开心一点不好吗？
根源在于有人率先使用了侮辱性的字眼。
浪费精力，浪费感情，浪费时间！
讨论问题可以，
千万别骂大街，
两败俱伤而且毫无意义。
如果大家都想做三岁黄毛小儿，骂街泼妇，那就请自便，接着骂！
本是同根生，相煎何太急啊！
对方又不是日本鬼子，台独分子，何必呢？

作者: 独孤不平 时间: 2008-12-25 00:13

Quote:

早漏はだめですよ！

什么文字，鄙视！。。。还日本鬼子台独分子呢！。。。

作者: koo 时间: 2008-12-25 00:25

Quote:

Originally posted by 客观评价MJ0011 at 2008-12-24 23:28:
1.一个怎么进注册表现在才让孤陋寡闻的我认识到了KOO的强大~

2.平安夜看来不平安了~

[ Last edited by 客观评价MJ0011 on 2008-12-24 at 23:34 ]

你爱咋想就咋想，你说不会就不会吧，我对你不感兴趣，就对MJ感兴趣，我都想睡觉了，看了看帖子他没来你倒来了

作者: hanker 时间: 2008-12-25 00:55
哎，冤冤相报何时了啊。。。。。。。。。。

都少说几句吧，毕竟平安夜

作者: lotei 时间: 2008-12-25 02:30
真晚了！本来想回些什么的，看到最后也不就不想多说什么了！这贴已经被水了！其实微点主动防御区交流技术是挺好的！但别骂街！

研究主动防御的好坏不是单纯依靠底层驱动过滤所能保持的颗粒密度！MJ应该也能明白！

Quote:

这里透露一点技术实现方法：使用ideport的passthrough或ring3 io法写磁盘修改启动选项！

这个也是可以拦截的！

[ Last edited by lotei on 2008-12-25 at 02:31 ]

作者: yurong7777777 时间: 2008-12-25 11:08
只见人吵，都说自己才是最懂的，可我却没见中国出了什么很了不起的软件，都是半瓶水在晃，自我感觉很好，没见你们去花时间搞技术，总在这里瞎掰！

作者: 点饭的百度空间 时间: 2008-12-25 13:38
奇妙的圣诞夜！！

什么xx都是没用的。。。只要进了RING0一切都是摆设。。。

还有也正是某杀软太烂，市场占有率又这么高，360才这么大装机量。。。

也正是由于M$的安全性不好，杀软才这么有市场。。。

不过就我个人体验而言，微点比国内其它杀软都要好。。。

如果微点真能做到天下无毒，最多一年时间微点就能一统世界杀毒市场。。。
话说刚才还没看到帖子里有提到我的那个xx.....
评论者: inghu 2008-12-24 19:33

没仔细看...绕过主动防御只要不调用任何api就ok了,我试过反汇编win内核底层操作,按照相同的内核操作手法,几句汇编语句可以完全绕过现有的主动防御!!
评论者: kipass 2008-12-24 21:38

还不是和mbr rootkit那套相似？只不过apc变成IO操作netcard了，貌似有人曾经说过不修改硬盘扇区或文件吧，怎末会这样呢？mj不厚道！。。。解决很简单吧，事先backup：ntldr、bootmgr、NTDETECT.COM、还有什么sisc驱动之类的到磁盘未分配空间（7.8m），加载dbr后最小磁盘驱动已经加载了，最起码可以浏览根目录，hook一下替微软做个校验就ok了，校验错误读磁盘未分配空间覆盖还原扇区。这个早在mbr rk出来的时候就考虑过了。。mbr rk还是博主给的呢，心情不好可能说话口气重，mj不要乱七八糟的乱骂，本人菜鸟也是菜想法。。。
评论者: xxx 2008-12-24 22:13

作者: 拳皇2001 时间: 2008-12-25 13:47
攻与防是相对的，之所以有人说过微点比较难，一方面是微点有独特的技术，另一方面，微点目前还是“小众软件”，用户量和其他各大杀软比较起来还是很少的，很少有人去研究过微点。
就像WINDOWS和LINUX，用户总是抱怨WINDOWS漏洞太多，安全性不够，其实主要原因是WINDOWS的普及率太高，研究WINDOWS的人太多，才能爆出那么多的漏洞，LINUX和WINDOWS一样，都只是一套操作系统，也会有大量的BUG，只不过受众面比较小，所以相对安全。

作者: lotei 时间: 2008-12-25 17:24

Quote:

Originally posted by 拳皇2001 at 2008-12-25 13:47:
攻与防是相对的，之所以有人说过微点比较难，一方面是微点有独特的技术，另一方面，微点目前还是“小众软件”，用户量和其他各大杀软比较起来还是很少的，很少有人去研究过微点。
就像WINDOWS和LINUX，用户总是抱 ...

微点的框架结构包括设计思路是没有问题的！也算是国内上品的！而对于是否经受得起用户大量持续庞大之后所带来的考验还需要时间去证明！但值得一说的是，最早期的磁碟机所针对的就是微点的设计思路，包括逆目前普遍病毒木马也可以发现基本的病毒也考虑对微点进行过滤！但总的来说微点还是有很多的成长空间和需要时间来磨练！当然这个时间包括多方面。
其实早期的360和现在的360也有了明显的变大！当然也在于360成长壮大之后有很多的财力和物力去招更多的驱动工程师去完善他的监控！但总来的来！360要在防御这一块走得更远！微点也是不错的借鉴对象！不然MJ等人也不会有那么多闲时间去看微点的底层过滤！

微点的论坛上的多个MJ是本身还是马甲我也不清楚！倒是debugman上那个MS真MJ，我觉得与其在这里和初级用户互骂还不如多发的技术的帖子不是更好!

作者: zhanguomoushi 时间: 2008-12-26 00:16
原来楼主koo跟mj是宿敌啊？？？
刚到灌水区逛了一圈才知道，
唉，真是的，
两个大男人吵什么架呢？
以后还想再吵的话，
建议你们俩干脆决斗一次得了。
嘿嘿，我来做裁判，保证公平竞赛！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn