微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 为什么杀毒软件的主动防御都可以被恢复?  

 15  1/2  1  2  > 
作者:
标题: 为什么杀毒软件的主动防御都可以被恢复?
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#1  为什么杀毒软件的主动防御都可以被恢复?

我看了这个贴
http://bbs.micropoint.com.cn/sho ... id=605968#pid334886
实际上,我很久以来就有一个疑问:
理论上,是杀毒软件的服务驱动进程先加载,那既然有自我保护,为什么不可以保护SSDT?为什么主动防御可以被恢复?微点能不能防御这种恢复?

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2009-4-28 17:17
查看资料  发送邮件  发短消息  QQ   编辑帖子
mj0011_2
禁止发言





积分 86
发帖 109
注册 2008-12-14
#2  

主要是这些杀毒软件太挫,没有使用例如MMU、虚拟化等方式保护自己的钩子~
微点用了一种非常挫的方式来保护SSDT:定时检查暴力恢复

这样不但非常挫,保护不住,还会占用用户机器的大量CPU资源

※ ※ ※ 本文纯属【mj0011_2】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-28 17:36
查看资料  发送邮件  发短消息   编辑帖子
凡间幽灵
银牌会员




积分 1329
发帖 1295
注册 2008-11-27
#3  

楼上的两位老兄,微点早就不再修改SSDT表了,那些恢复SSDT一直以来对微点都无效,更不要说现在,郁闷。都过去很久了,还有人老生长谈,汗啊。。。。多的俺也不说了,自己看卡饭的帖子,连接如下
http://bbs.kafan.cn/thread-362181-1-1.html

※ ※ ※ 本文纯属【凡间幽灵】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

杀毒软件洗洗睡吧,上帝不会为难头脑简单的孩子
2009-4-28 17:56
查看资料  发送邮件  发短消息   编辑帖子
mj0011_2
禁止发言





积分 86
发帖 109
注册 2008-12-14
#4  

不用SSDT也照样是内核钩子,是内核钩子都可以被恢复
用DPC、TIMER、线程之类保护也是于事无补,徒增不稳定,占用无知用户的CPU

※ ※ ※ 本文纯属【mj0011_2】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-28 20:27
查看资料  发送邮件  发短消息   编辑帖子
cp0577
禁止访问





积分 1151
发帖 1149
注册 2008-6-21
来自 浙江温州
#5  

杀毒软件再怎么垃圾。那不用杀毒也不怎么好把.

※ ※ ※ 本文纯属【cp0577】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-28 20:31
查看资料  发送邮件  发短消息   编辑帖子
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#6  



  Quote:
Originally posted by mj0011_2 at 2009-4-28 17:36:
主要是这些杀毒软件太挫,没有使用例如MMU、虚拟化等方式保护自己的钩子~
微点用了一种非常挫的方式来保护SSDT:定时检查暴力恢复

这样不但非常挫,保护不住,还会占用用户机器的大量CPU资源

那他们为什么不用呢?

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2009-4-28 21:18
查看资料  发送邮件  发短消息  QQ   编辑帖子
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#7  



  Quote:
Originally posted by mj0011_2 at 2009-4-28 20:27:
不用SSDT也照样是内核钩子,是内核钩子都可以被恢复
用DPC、TIMER、线程之类保护也是于事无补,徒增不稳定,占用无知用户的CPU

你这么牛,那有没有办法,可以保护不被恢复?
要是有,为什么没人用?

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2009-4-28 21:23
查看资料  发送邮件  发短消息  QQ   编辑帖子
mj0011_2
禁止发言





积分 86
发帖 109
注册 2008-12-14
#8  

其实要过主动防御,真的没必要恢复
方法太多了

顺便说一句,微点的主动防御并不比瑞星强多少,可能有差距,但是不多

※ ※ ※ 本文纯属【mj0011_2】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-28 22:10
查看资料  发送邮件  发短消息   编辑帖子
HomeSGerMine
银牌会员

■■微点护卫队队长■■


积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
#9  

微点其实有保护SSDT,只是检查SSDT的频率问题,大概是3~5秒一次,只要病毒在这段时间内恢复SSDT,微点的主动防御就失效了,如果检测的频率过于频繁的又会消耗太多的资源,所以保护SSDT不被恶意恢复对于杀软来说还是还是一个头痛的问题呢

※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方之荣耀,  中华之微点!---Micropint
2009-4-28 22:12
查看资料  发送邮件  发短消息  QQ   编辑帖子
HomeSGerMine
银牌会员

■■微点护卫队队长■■


积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
#10  



  Quote:
Originally posted by mj0011_2 at 2009-4-28 22:10:
其实要过主动防御,真的没必要恢复
方法太多了

顺便说一句,微点的主动防御并不比瑞星强多少,可能有差距,但是不多

差远了.......一个是一个动作报告一次,只告诉你危险不危险,而微点是直接告诉你是病毒,不是病毒再多的动作也不会报告... 这个是什么差距啊.......天大的差距!

※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方之荣耀,  中华之微点!---Micropint
2009-4-28 22:15
查看资料  发送邮件  发短消息  QQ   编辑帖子
 15  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号