» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 【MJ0011】关于1万小时定律，兼谈最近的MD事件   作者: 标题: 【MJ0011】关于1万小时定律，兼谈最近的MD事件 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【MJ0011】关于1万小时定律，兼谈最近的MD事件 【MJ0011】安全防御软件漏洞 ProbeBypass攻击技术(包括MD) http://bbs.micropoint.com.cn/showthread.asp?tid=61096&fpage=1 2009-11-03 21:26 今天去ADVDBG找一个很老的资料，无意中发现了Raymond的一篇文章：《也谈1万小时定律 》 http://advdbg.org/blogs/advdbg_system/articles/3204.aspx 很有感触，也算了一下，接触程序、逆向、底层也有6年之久了，每天花费的时间，差不多在10~12个小时，那么取个平均数，11*365(节假日不休）*6= 24090，二万小时多一点。 前一万小时，在学校，在和我的电子设备TEAM奔波于祖国南端的时间里，基本花费在了反汇编、汇编，和硬件打交道的日子上，这部分功夫本博的读者是看不到了。后一万小时，在祖国的首都，则开始和Windows开始挂钩，逆向，内核，安全，等等。 诸位网友，只要是智商不是太差，谁下到了这个功夫，就能达到和我一样的水平，都是正常人类，没什么区别。世上无难事，巴拉巴拉巴拉，虽然很俗，但确实有道理。 反之看最近的MD事件，最初是在公司某事件熬夜时，无聊中下载了MD,CIS等软件，本意是想学习一下，看到MD的Probe处理后，便想起了去年曾和某些人意淫过的ProbeBypass技术，于是实践了一下，既然实践成功后不免发出来分享一下。 可是后来的事情有些让我出乎意料，卡饭上MD区的网友们反映超过我的想象，SANDWORM也迅速补上了这个漏洞，于是起了争胜之心，接下来连着五次破掉了升级后的MD。其实，挖掘这些攻击方法对我来说确实很简单，在内核攻击防御这块做熟了，看一眼IDA自然知道目标程序哪里没处理好。 只是这样会带来一些不好的影响，因为很多时候可能不需要多少的技术水平，不需要对这些保护做分析，直接照抄或者修改网上一些现成的方法、手段，也可以突破安全软件保护，由于这样可以轻易地获得战胜安全软件的虚假的满足，一些新入门的小孩可能就以此为荣，沉浸到对保护突破的快感，而不是技术追求的渴望上去了，这很明显是错误的。我的本意只是共享ProbeBypass这个精妙的技巧，而不是要攻破某某。 构建一个完备、考虑用户感受和兼容性的保护系统，远远比突破它的技术要难得多，尤其是在拥有大用户量基数的产品上。以微软这样的庞然大物，高手如云，也要在接到报告很久后，才能修补漏洞，不是因为不知道怎么修补，而是他们要考虑的问题远比漏洞攻击和挖掘者多得多。在保证用户体验，兼容性和稳定性的前提下，增强安全防护的能力，这才是高深的技术。   相比之下，这些攻击方法的挖掘，尤其是非建立在对攻击系统分析的基础上的挖掘（其实那样已不叫挖掘，叫做抄袭或盲人摸象吧 呵呵）， 显然根本没有多少技术含量。 不过此次MD事件，据某人说也具有了一些正面的影响，那就是让很多原本不了解这方面道理的卡饭的网友，了解了HIPS的防护不是绝对安全的，了解了HIPS的保护其实并不见得比常规的带防御能力的安全软件强，为什么平时看起来HIPS很坚固，但专业人员却能很轻易地突破，了解了怎么样的设计考虑才是面向大多数用户的。让他们对什么是真正优秀的安全防护软件有一个正确的标准。如果说这些目的能达到，并且这些影响能随着卡饭的网友向外传播，那么最近这两天，我还算没有白练输入法：） 类别：默认分类 | 添加到搜藏 | 浏览(1519) | 评论 (46)   上一篇：二行代码再破MD文件保护    下一篇：VmxArk 相关源码开放 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-11-13 18:08 simonfour 高级用户 打酱油的！！ 积分 926 发帖 926 注册 2008-3-8 #2   呵呵，，，MJ这些话说的好，，，任何软件都是一样的，，，只为了突破而突破，，没什么意义！！！！ ※ ※ ※ 本文纯属【simonfour】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-11-14 00:30 jackybaby 中级用户 积分 330 发帖 321 注册 2006-12-31 来自 sz #3   MJ啊，你太残忍了，本来HIPS的粉丝忍受了常人难以忍受的不方便，十倍于别人的鼠标点击量，忍受各种蓝屏死机的折磨，换来的就是这点刀枪不入的安全感，没事点击个样本，拦截了，那个欣慰啊，睡觉都含笑。 可这个美好的梦被你打破了，发现他们辛辛苦苦换来的是个虚幻的安全感，顿时一片迷茫，信仰支柱轰然倒塌，莫名的不安全感重新缠绕心头，焦虑，迷惘，颓废一起涌起，MJ你说是不是太残忍了？ ※ ※ ※ 本文纯属【jackybaby】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 微点+组策略，不知毒滋味。 2009-11-14 11:00 shambhala 注册用户 积分 115 发帖 115 注册 2008-6-20 #4   充分认识到 HIPS的不足，不迷信，的确是件好事。 ※ ※ ※ 本文纯属【shambhala】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-11-16 22:00 坐照 银牌会员 正式版用户 积分 1426 发帖 1422 注册 2009-3-24 来自 湖北宜都 #5     Quote: Originally posted by jackybaby at 2009-11-14 11:00: MJ啊，你太残忍了，本来HIPS的粉丝忍受了常人难以忍受的不方便，十倍于别人的鼠标点击量，忍受各种蓝屏死机的折磨，换来的就是这点刀枪不入的安全感，没事点击个样本，拦截了，那个欣慰啊，睡觉都含笑。 可这个美 ... 好文笔 ※ ※ ※ 本文纯属【坐照】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-11-17 10:12 潇潇夜雨 新手上路 积分 5 发帖 5 注册 2009-11-20 #6   充分认识到 HIPS的不足，不迷信，的确是件好事。 ※ ※ ※ 本文纯属【潇潇夜雨】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-11-20 19:36 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号