»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
反病毒
» 【MJ0011】关于1万小时定律,兼谈最近的MD事件
作者:
标题: 【MJ0011】关于1万小时定律,兼谈最近的MD事件
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
#1
【MJ0011】关于1万小时定律,兼谈最近的MD事件
【MJ0011】安全防御软件漏洞 ProbeBypass攻击技术(包括MD)
http://bbs.micropoint.com.cn/showthread.asp?tid=61096&fpage=1
2009-11-03 21:26
今天去ADVDBG找一个很老的资料,无意中发现了Raymond的一篇文章:《也谈1万小时定律 》
http://advdbg.org/blogs/advdbg_system/articles/3204.aspx
很有感触,也算了一下,接触程序、逆向、底层也有6年之久了,每天花费的时间,差不多在10~12个小时,那么取个平均数,11*365(节假日不休)*6= 24090,二万小时多一点。
前一万小时,在学校,在和我的电子设备TEAM奔波于祖国南端的时间里,基本花费在了反汇编、汇编,和硬件打交道的日子上,这部分功夫本博的读者是看不到了。后一万小时,在祖国的首都,则开始和Windows开始挂钩,逆向,内核,安全,等等。
诸位网友,只要是智商不是太差,谁下到了这个功夫,就能达到和我一样的水平,都是正常人类,没什么区别。世上无难事,巴拉巴拉巴拉,虽然很俗,但确实有道理。
反之看最近的MD事件,最初是在公司某事件熬夜时,无聊中下载了MD,CIS等软件,本意是想学习一下,看到MD的Probe处理后,便想起了去年曾和某些人意淫过的ProbeBypass技术,于是实践了一下,既然实践成功后不免发出来分享一下。
可是后来的事情有些让我出乎意料,卡饭上MD区的网友们反映超过我的想象,SANDWORM也迅速补上了这个漏洞,于是起了争胜之心,接下来连着五次破掉了升级后的MD。其实,挖掘这些攻击方法对我来说确实很简单,在内核攻击防御这块做熟了,看一眼IDA自然知道目标程序哪里没处理好。
只是这样会带来一些不好的影响,因为很多时候可能不需要多少的技术水平,不需要对这些保护做分析,直接照抄或者修改网上一些现成的方法、手段,也可以突破安全软件保护,由于这样可以轻易地获得战胜安全软件的虚假的满足,一些新入门的小孩可能就以此为荣,沉浸到对保护突破的快感,而不是技术追求的渴望上去了,这很明显是错误的。我的本意只是共享ProbeBypass这个精妙的技巧,而不是要攻破某某。
构建一个完备、考虑用户感受和兼容性的保护系统,远远比突破它的技术要难得多,尤其是在拥有大用户量基数的产品上。以微软这样的庞然大物,高手如云,也要在接到报告很久后,才能修补漏洞,不是因为不知道怎么修补,而是他们要考虑的问题远比漏洞攻击和挖掘者多得多。在保证用户体验,兼容性和稳定性的前提下,增强安全防护的能力,这才是高深的技术。 相比之下,这些攻击方法的挖掘,尤其是非建立在对攻击系统分析的基础上的挖掘(其实那样已不叫挖掘,叫做抄袭或盲人摸象吧 呵呵), 显然根本没有多少技术含量。
不过此次MD事件,据某人说也具有了一些正面的影响,那就是让很多原本不了解这方面道理的卡饭的网友,了解了HIPS的防护不是绝对安全的,了解了HIPS的保护其实并不见得比常规的带防御能力的安全软件强,为什么平时看起来HIPS很坚固,但专业人员却能很轻易地突破,了解了怎么样的设计考虑才是面向大多数用户的。让他们对什么是真正优秀的安全防护软件有一个正确的标准。如果说这些目的能达到,并且这些影响能随着卡饭的网友向外传播,那么最近这两天,我还算没有白练输入法:)
类别:默认分类 | 添加到搜藏 | 浏览(1519) | 评论 (46)
上一篇:二行代码再破MD文件保护
下一篇:VmxArk 相关源码开放
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2009-11-13 18:08
simonfour
高级用户
打酱油的!!
积分 926
发帖 926
注册 2008-3-8
#2
呵呵,,,MJ这些话说的好,,,任何软件都是一样的,,,只为了突破而突破,,没什么意义!!!!
※ ※ ※ 本文纯属【simonfour】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-14 00:30
jackybaby
中级用户
积分 330
发帖 321
注册 2006-12-31
来自 sz
#3
MJ啊,你太残忍了,本来HIPS的粉丝忍受了常人难以忍受的不方便,十倍于别人的鼠标点击量,忍受各种蓝屏死机的折磨,换来的就是这点刀枪不入的安全感,没事点击个样本,拦截了,那个欣慰啊,睡觉都含笑。 可这个美好的梦被你打破了,发现他们辛辛苦苦换来的是个虚幻的安全感,顿时一片迷茫,信仰支柱轰然倒塌,莫名的不安全感重新缠绕心头,焦虑,迷惘,颓废一起涌起,MJ你说是不是太残忍了?
※ ※ ※ 本文纯属【jackybaby】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
微点+组策略,不知毒滋味。
2009-11-14 11:00
shambhala
注册用户
积分 115
发帖 115
注册 2008-6-20
#4
充分认识到 HIPS的不足,不迷信,的确是件好事。
※ ※ ※ 本文纯属【shambhala】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-16 22:00
坐照
银牌会员
正式版用户
积分 1426
发帖 1422
注册 2009-3-24
来自 湖北宜都
#5
Quote:
Originally posted by
jackybaby
at 2009-11-14 11:00:
MJ啊,你太残忍了,本来HIPS的粉丝忍受了常人难以忍受的不方便,十倍于别人的鼠标点击量,忍受各种蓝屏死机的折磨,换来的就是这点刀枪不入的安全感,没事点击个样本,拦截了,那个欣慰啊,睡觉都含笑。 可这个美 ...
好文笔
※ ※ ※ 本文纯属【坐照】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-17 10:12
潇潇夜雨
新手上路
积分 5
发帖 5
注册 2009-11-20
#6
充分认识到 HIPS的不足,不迷信,的确是件好事。
※ ※ ※ 本文纯属【潇潇夜雨】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-20 19:36
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号