- 听众
- 收听
- 积分
- 2999
- 主题
- 回帖
- 0
- 精华
注册时间2006-7-29
最后登录1970-1-1
该用户从未签到
|
本文转自 http://hi.baidu.com/flowercode
(对原文有所删除)
Q:IceSword 是万能的吗?
A:不论是从哲学角度还是原理角度这都是错的。也永远别指望有一款万能软件。
现在国外的许多 RootKit 出厂的最低标准就是在 IceSword 下完全隐藏,国内的流氓们也争相对 IceSword 进行破坏,所以……pjf 要加油呀~
Q:Unlocker 可以用来对付驱动级的恶意程序吗?
A:曾经可以。但 Unlocker 毕竟不是设计为专门针对 RootKit 的程序,所以挂一些 Hook 即可让其完全失效。
Q:ViraKaza 可以用来对付感染型病毒和驱动级的恶意程序吗?
A:从原理上说,完全不可以。
Q:KillBox、PowerRMV 的文件删除能力比 IceSword 还要强吗?
A:错误。在这里还可以再加上一个 ViraKaza,它们三个的原理都是 MoveFileEx。后面两个在 MoveFileEx 之前对进程等做了一些处理,仅此而已。
而 IceSword 所做的远比这个多。所以如果一个文件用 IceSword 都无法删除的话,就可以不必拿这三个软件出来了。
Q:XDelBox 的文件删除能力比目前所有的软件都要强吗?
A:是的。因为它在 DOS 这个纯净的世界里删除文件。在这里,没有流氓驱动,没有监视进程,没有 Hook,没有……
但流氓们仍可以阻止 XDelBox 的启动,或者阻止其释放引导文件。
Q:映像劫持很可怕吗?
A:真正的映像劫持比较可怕。
但目前普遍应用的是在映像文件执行选项里指定调试器,也不知是谁把这种方法也称为映像劫持。
对付这种小把戏只需把可执行文件的文件名改改即可。
Q:HIPS 可以防住一切吗?
A:和第一个问题一样有哲学错误。多数 HIPS 的一个明显弱点是只能防住应用程序层面的东西,对于驱动搞破坏就无能为力了。
所以当 HIPS 提示你某程序要加载驱动的时候,一定要仔细检查后再决定是否放行。
Q:扩展名为 Sys 的一定是驱动文件吗?
A:还有许多类似的问题,例如“扩展名为 DLL 的一定是动态链接库吗?”。
回答是否定的。具体是什么文件要看文件头。
如果你把一个扩展名为 EXE 的改为 Sys,通过 CreateProcess 一样可以直接执行它。但如果用 ShellExecute 则不行。
Q:安全模式很安全吗?
A:曾经是这样(怀念中……)。但实际上安全模式要加载哪些驱动完全由注册表中的内容决定,而只要有管理员权限就可以随便篡改这些内容。
AppInit_DLLs 键值指定的动态链接库也可以在安全模式下由系统自动注入至所有进程。
还有无数种在安全模式下自动启动病毒程序的方式。所以安全模式并不安全。
Q:未经许可就转载别人的文章且不注明原作者的人很可恶吗?
A:是的。这种人应该严重 BS。
Q:沙盒(SandBox)可以确保安全吗?
A:沙盒是基于API Hook 的,且多会拦截驱动加载操作。如果沙盒的设计考虑的比较周到的话,基本上可以超过HIPS的安全性。但绝对安全是不可能的。所以如果要测试病毒的话,还是虚拟机比较让人放心。
我知道的最安全的方法是在 Linux 上安装虚拟机运行 Windows 来测试病毒。
Q:SREng 的日志可以发现所有的恶意程序吗?
A:显然不是这样。但可以发现多数常见恶意程序。一些技术较好的 RootKit 可以轻松躲过 SREng 的扫描。
虽说现在 SREng 在不断加强检测能力,但毕竟还是受到 Ring3 的限制。
Q:据说“熊猫烧香”可以轻而易举地关闭 IceSword,这是真的吗?
A:这是媒体炒作出来的。该蠕虫只能不断地调用 PostMessage 向 IceSword 窗口发送 WM_CLOSE 消息,使 IceSword 不断询问用户是否要关闭。
而它查找 IceSword 的方法则是枚举所有顶级窗口的子窗口,查找“pjf(ustc)”,也就是左下角的那个版权信息。这些都是没有任何技术含量的做法。
Q:灰鸽子很强吗?为什么很多杀毒软件都无法发现它的隐藏的东西?
A:灰鸽子很弱。用了几个 DLL 注入所有进程挂了一些API来隐藏一些东西。
但这种技术对于杀毒软件的驱动程序来说完全无效。至于杀毒软件无法发现其隐藏的东西,估计是杀毒软件公司比较懒吧……
实际上根本不需要驱动程序就可以发现它隐藏的东西。
Q:ntsd 是一个系统内置的很强的结束进程的工具吗?
A:错。ntsd 只是一个系统内置的用户态调试器。至于它能结束进程则是因为 Windows 规定一个进程在被调试后或者调试器终止后必须终止。
这固然可以拿来对付任何顽固进程,但关键是调试一个进程首先需要打开它,而通常在这一步就会被带进程保护的程序拦截,所以其实没什么效果。(不信的话你可以拿 IceSword 测试。)
Q:RootKit 是木马/病毒吗?
A:不是。RootKit 只是一种工具,用于隐藏或保护其它程序(尤其是恶意程序)。
例如 FUTo 就是一个典型的 RootKit,本身不具有危害性,但可以用 DKOM 技术隐藏其它进程。
现在有一些木马/病毒(灰鸽子不包括在内)只能说是使用了部分 RootKit 技术,但不能算是 RootKit。 |
|
IP卡
狗仔卡
发表于 2008-1-20 23:55:07
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡
