» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【tiane12】优秀的主动防御软件----东方微点   作者: 标题: 【tiane12】优秀的主动防御软件----东方微点 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【tiane12】优秀的主动防御软件----东方微点 济南学生联盟网络组 原文出自：http://net.jnnd.com/post/14.html 隶属于济南学生联盟管理团队，负责网络安装、维护调试等工作。在这里不仅仅是技术，更多的是一份轻松，一份愉悦，工作之余，把自己的心情，自己的感受发在这里，算是一种宣泄，一种放松，静静地成长，她，将一直伴随着我们，直到那一天......--By tiane12 & jiangbo     优秀的主动防御软件----东方微点     从去年开始，国内安全界的不断有新名词出现：Ring0、Ring3、内核、底层驱动、Rootkit、http隧道、映像劫持、还原卡穿透等等。两个名声最大的病毒：熊猫烧香、机器狗也在业内引起轰动。其实熊猫烧香并没有采用特别先进的技术，仅仅是破坏大了一点，说白了，就是在拿到系统权限之后的破坏能力大了一点。可后者完全不同，后者采用的新技术，完全可以穿透还原卡，使无数的网吧、公共机房、事业机关部门的局域网大规模瘫痪同时附加的木马可能导致各种情况发生，其实我个人认为，机器狗的威胁远大于熊猫烧香。 作为本片文章开篇，我认为十分有必要先介绍一下机器狗：《黑客防线》曾经有一篇分析各个版本机器狗的文章，机器狗所具有的一个通用特征就是穿透还原，不管是软还原还是硬还原，都可以穿透，有了这一个功能，它就可以被称为机器狗了，至于其他功能，如：ARP自动欺骗、内网共享漏洞、挂马等等就都是附加的了。为什么我说有必要介绍机器狗：机器狗穿透还原卡后，植入的程序杀毒软件却杀不掉。原因很简单，重启后，还原设备帮病毒还原了，而杀毒软件却不会穿透还原卡这就导致了机器狗难清除的原因（当然，这里指当时难杀，因为没有专杀工具，现在已经有了）。     下面我们回归正题：在这些病毒出现的初期，几乎所有的杀毒软件都是检查不出来的，因为他们的特征库内没有这些病毒的特征。这也就导致了病毒查杀的滞后性，也就是说这里的杀毒软件是滞后的，是被动的。每次都要等到病毒在比较大的范围内爆发后，杀软才会通过更新来查杀。注意，这里我说的是更新后来查杀。杀软不更新，就相当于一个空壳，什么都不会。说白了，如果没有网络，杀软也就什么用都没有。这就是我前些时候提出的理念“没有杀毒软件，只有防毒软件”。而熊猫烧香之所以大规模爆发，也恰恰利用了这一特点，当时因为海底地震，许多国外的杀毒软件都无法更新（像诺顿，Avast!，Nod32，麦咖啡，趋势等），就导致了病毒大规模泛滥。而这时，使用东方微点的用户可以发现，虽然没有升级病毒库，微点依然可以拦截熊猫烧香，保证用户系统的安全。在这次病毒大规模爆发时期，微点的高可靠性令人称赞。    我们再站在黑客角度讲，目前流行的免杀技术可以应付市面上大多数的杀毒软件：加壳、加花过杀软的表面查杀，加花、修改指令等来过病毒的内存查杀，修改病毒的文件、注册表、启动项写入来过杀软的“主动防御”（这里之所以要用引号，是因为和微点比起来，这些杀软的主动防御根本不值一提，这根本不是主动防御，说白了仅仅算是个特征查杀软件吧，要知道特征查杀技术在2001年的“绿鹰PC万能精灵”上就有用到）。所以做一个病毒的免杀通过所有杀毒软件的查杀是相当简单的。甚至快的话，一个病毒在半小时内就可以达到完全免杀的效果，而热门的“灰鸽子”也仅仅是在特征码定位时稍费一点功夫而已。而微点则不同，目前几乎没有任何组织可以完全破解微点的查杀方式，所以免杀相当困难。在P4机器上做免杀通过后，在Core 2上又不行了，在Intel上通过换到AMD又不行了，所以说，过微点的病毒相当少。    再说下自我保护：很多杀毒软件就有天生的缺陷，比如卡巴斯基的修改时间缺陷，这是最严重的缺陷，很多病毒注入系统后，不做别的，先修改时间，这样卡巴斯基就挂掉了。还有就是江民、瑞星、金山等国产软件，用进程管理器可能结束不掉，可使用“冰刃”这类在Ring0下操作进程的软件就Over了，几乎是致命的，病毒的部分代码完全可以做到直接在Ring0下操作进程。保护进程也显得相当无用，一共创建两个进程，互相监视，如果一个进程被关闭了，再启动它...看似很好，可是如果同时结束呢？可能人手操作没有这么快，可是计算机可以。我们再来看一下微点：以下是在冰刃中查看微点进程   选中的是微点的进程，而这些进程用冰刃结束完全没有效果！即使是同时结束，也无济于事。    为什么会这样呢？答案是，微点注入了所有进程！所以，想结束掉微点是相当困难的。最后再说一下启动：微点的启动是驱动级的，在系统加载时，第一个加载，仅次于windows内核，在开机时，优先于声音控制、输入法、网络配置等一切系统程序。所以说，用微点清除只需要一步：重启计算机。说一下，我为什么写这篇文章，首先我不是做广告，我和微点没有任何关系，有，也仅仅是微点的预升级版用户。我想作为一个网络安全爱好者，我有必要为大家推荐一款我喜欢的安全软件，记得我也写过一篇文章，是“什么杀毒软件好用？”这并不矛盾，微点并不是杀毒软件，它仅仅有很小的流行病毒的病毒库，与那些杀软比起来，实在小得不值一提。最后说一句：东方微点是国家863项目之一。 附东方微点官方网站：http://www.micropoint.com.cn/   tiane12 2008年7月19日 烟台 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-8-29 17:54 liudaxue2008 中级用户 积分 402 发帖 402 注册 2007-11-6 来自 苏州 #2   支持一下 ※ ※ ※ 本文纯属【liudaxue2008】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [img]http://bbs.micropoint.com.cn/images/logo.gif[/img] 2008-8-29 20:59 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号