» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » [shineastdh 张东辉] 微点本地权限提升秘密报告的漏洞   作者: 标题: [shineastdh 张东辉] 微点本地权限提升秘密报告的漏洞 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  [shineastdh 张东辉] 微点本地权限提升秘密报告的漏洞 感谢用户shineastdh反馈！此问题微点已解决，请升级最新版本。 西安交大网络安全重点实验室 张东辉 核能科学与工程 个人简介： 将漏洞挖掘进行到底! 我的理想就是做中国最好的杀毒软件，现在正在学习微点，虽然微点在技术上还有很多问题，但是思想上已经是创新了。 另外微点实现这个思想的时候方法、细节还是有点问题，绕过就是很头疼的问题。 没办法，搞事业就要不断的遇到问题，能做好技术，解决好问题才是王道！    【原创】终于领悟了主动防御    -------------------------------------------------------------------------------- 传统的特征码技术虽然大势已去，但是目前仍能发挥余热，在微点等主动防御软件中还是以此来识别已知病毒、木马的。 不过对于未知病毒我们必须有一套可行，不易被绕过的方法来识别它们。目前盛行的病毒变形、多态技术，使得特征码技术没法做到这一点，那么从行为的角度来考虑的话，就是化代码特征为行为特征，来识别未知病毒。 主动防御，我个人认为是这个大思想（行为技术）下的一个方式方法。当然还有其他的思路和方法。主动防御以监视为基础，当发现一个行为或一系列行为可疑时，该程序就进入了主动防御重点分析的状态，分析其衍生物，同时用特征码的方法分析其关联的文件是否是病毒、木马。如果能够准确的识别出来是已知病毒的话，绝不手软；如果被识别出是未知病毒的话，询问用户，是否放行等。 要推动主动防御技术，必须不断的研究攻防技术，例如自启动，代码注入，kill杀软，注册表操作，文件操作，Rootkit等等，这些目前是绝对的热点，主动防御我个人认为就是防的这些，因此能绕过，很强的！也是很有技术价值的；能防住的就是更有价值的了。这才是攻击与防御最真实的较量！ 另外，虽然有很多人认为，杀软在明处，写病毒，写木马可以通过测试，发现其可绕过之处，从而写出可行的病毒、木马。不过什么都是相对的，只要主动防御杀软能够快速得到这个样本，学习之，再完善自己的核心技术。这样就可以抵御一批使用了这个绕过技术的病毒、木马，岂不乐哉！——事实上，主动防御这种发展模式，最根本的优势是改变了传统杀软的发展模式，化被动为主动，主动的去研究新鲜的绕过技术，完善自身系统，研究技术虽然要比研究病毒单个样本的特征码成本高的多，但是研究出的技术起到了抵御一批病毒、木马的作用。因此一类病毒中只需要研究分析一个即可！我认为在这样一个病毒、木马泛滥成灾的时代里，主动防御的思想反而降低了系统的成本。 【东辉主动防御软件】shineast_Proactive_Defense_Software  (请一定下载最新版本)：更新日期2010 05 20 http://e.ys168.com/?shineast   访问shineastdh的空间 【shineastdh】这两天对主动防御的思考 http://bbs.micropoint.com.cn/sea ... mp;searchsubmit=yes 【shineastdh】show下微点送我的微点！ http://bbs.micropoint.com.cn/sho ... 9%B6%C8%BF%D5%BC%E4 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2010-6-4 15:13 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号