» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 灌水区 » 『转贴』就熊猫的技术水平做一些澄清   作者: 标题: 『转贴』就熊猫的技术水平做一些澄清 228879547 中级用户 积分 451 发帖 447 注册 2007-3-2 #1  『转贴』就熊猫的技术水平做一些澄清 从技术层面上讲，熊猫烧香实在是很低劣的东西。但是它的流行却反映出杀毒软件跟不上时代了，十年前的话，病毒与反病毒只是技术领域的一种交流性质的游戏，现在则变味了。 病毒的第一要旨是隐藏，隐藏就意味着它要尽可能地不改变系统，让用户觉得什么都没发生。单凭这点，熊猫烧香已经犯了病毒的大戒。 PS：提一下文中提到的MGF，是个工作在内核的病毒，用了一些相对新颖的进内核的技术，主要通过文件共享传播。 作为一个程序员，我相信还是有评价它的资格，这里我就提出我的一些看法： 第一，病毒必须能够隐藏自己，让用户不能轻易察觉自己中毒了，这一点熊猫很失败，它近乎以一种敲锣打鼓的方式告诉用户你已经中毒了。 第二，被感染的程序一定是可以运行的，就好象它没被感染过一样，这一点熊猫也没做到，不过在用户看来，这反倒成了他厉害的标志，因为破坏性大嘛，事实上，让被感染的程序能够继续运行是病毒编写的关键技术，也是学病毒开发最大的难点。 第三，病毒的破坏性和技术含量没直接的关系，事实上，一个初学者可以写出很有破坏性的程序，删除文件，破坏文件数据（也就是朝文件里写垃圾数据），格式化硬盘，关机，在普通用户看来是很有破坏性的，实际上这些破坏性的操作都是通过调用一个函数来实现的，简单来说，一行程序代码就可以解决。 第四，事实上很多技术水平相当高的病毒，反倒没什么破坏性，它们的目的只是展示自己的技术，虽然普通用户并不识货，但反病毒公司却知道它的技术含量，一样可以达到炫耀技术的目的，而且不会引起反感。前几年MGF病毒属于此例（相信该病毒的作者一定会活活气死，这么烂的熊猫病毒竟然出名了，我的病毒一点声响都没有），不过当时的杀毒软件公司给了MGF病毒很高的评价，只是它有意控制了破坏力，所以没引起用户的关注。 第五，现在流行隐藏进程的技术，也就是按下ctrl+alt+del键后查看进程管理器，你的进程在里面看不见，已经有了好几种隐藏进程的成熟的方法，会运用这些技术的人已经很多，而且作为一个病毒或者木马编写者，这一关是必须要过的，但熊猫似乎无法实现这一点，而是当用户打开进程管理器的时候，迅速地关闭它，让用户无法关闭进程，这是一种无可奈何的方式，也就是在作者技术的极限所采用的一种方式，但该方式怎么说呢，懂的人都知道它不入流（也许你会说我吹牛，不过你问问别的程序员就知道了） 第六，还有隐藏文件的方法，比较高级的方法有HOOK SSDT，该方法不算太好，但能做到这技术已经不错了，更好的是写文件系统过滤驱动，最好的是直接hook 文件系统驱动，肯定还有更好的办法，只是我还不了解而已，但我了解最差劲的一种办法，就是修改注册表，也就是熊猫所采用的办法，不过比较省事，几行代码可以解决。 第六，CPU一般工作在两种权限下，一种是ring 0,一种是ring 3，操作系统内核工作在ring 0，普通的应用程序工作在ring 3，如果运行在ring 0，就有了最高权限，可以对内核进行很多操作（或者说破坏），而ring 3的程序权限就少得多，所以取得ring 0权限也是病毒编写者追求的目标，也是技术的一种体现，当一个病毒编写者从来没进过ring 0，没人会看得起他，不过幸亏在ring 3也可以搞破坏，为什么呢，因为删除文件，修改图标，关闭窗口这些操作都不需要ring 0权限，所以熊猫就在自己能力范围内无所不用其极，给人印象是这家伙真厉害啊。 第七，有人说，这样的人才怎么会找不到工作呢，他找不到工作是对的，为什么呢，如果他找的是正规软件公司，比如做ERP实施啊，做OA啊，做GIS，做游戏开发啊，他是无法胜任的，因为他所学的技术和这些领域一点关系都没有，他如果真要找工作，就只有找杀毒软件公司，不过说实在的，杀毒公司知道它的病毒是什么技术，别人看不清，难道杀毒公司还看不清吗？？要知道杀毒软件都是要写驱动程序的，都是要进入ring 0的，连ring 0都进不了，要你干什么？？ 看完后又学到了不少东西 [ Last edited by 228879547 on 2007-6-17 at 19:16 ] ※ ※ ※ 本文纯属【228879547】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ CPU：P4 3.0 内存：1G 补丁：即时跟新 系统：雨林木风XP 3.0 ghost版 安软：微点预升级 微点版本：每日跟新 浏览器：遨游2 2007-6-17 19:14 zn3300680 中级用户 积分 229 发帖 229 注册 2007-5-27 #2   学习了 ※ ※ ※ 本文纯属【zn3300680】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 我的电脑我做主 2007-6-17 19:47 wkwx 中级用户 新手上路 积分 341 发帖 341 注册 2005-12-4 #3   见识了 ※ ※ ※ 本文纯属【wkwx】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-6-17 19:55 Dr_Bo 新手上路 积分 35 发帖 35 注册 2007-5-5 #4   楼主说的有道理！！！ ※ ※ ※ 本文纯属【Dr_Bo】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-6-17 23:25 qq2008444 银牌会员 职业潜水艇 积分 5373 发帖 5291 注册 2007-7-7 来自 兰·基亚斯 兰古拉王国 #5   见识~ LZ佩服 ※ ※ ※ 本文纯属【qq2008444】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟…… 2007-7-10 22:43 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号