阅读反流氓、反木马和rootkit版有感

  自从驱网有了反流氓、反木马和rootkit版之后，国内关注rootkit的人有了一个新的交流的好地

方。在看过一篇篇高手的文章之后，忽然让我感觉回到了DOS时代，那时候普通程序的权力和系统

是一样的，现在的rootkit和操作系统的权力也是一样的，所以rootkit技术的使用者(不是创造者

)津津乐道于随心所欲的玩弄反病毒程序。在此我们猜想，如果有一天反病毒厂商开始搞防毒硬件

产品(比如杀毒U盘)，rootkit再一次面临被绞杀的局面。这样rootkit是否又回到了加壳，加密，变形

使反病毒程序难于发现的老路上，编写病毒rootkit的技术是不是再一次得到发展呢。







欢迎大家拍砖

ROOTKIT本身就有反U盘功能，完全可以禁用掉U盘，这个反rootkit方法不可取。否则那些杀毒厂商早就推出了，他们天天就研究这东西

引用第12楼wowocock于2007-02-13 08:46发表的“”:
现在也就在32BIT下还能折腾,到64BIT下,看你们还如何折腾?估计80%的RK和ANTI RK可以消失了,嘿嘿......

精准

xikug

看到眼熟的人了，呵呵，高人阿

引用第12楼wowocock于2007-02-13 08:46发表的“”:
现在也就在32BIT下还能折腾,到64BIT下,看你们还如何折腾?估计80%的RK和ANTI RK可以消失了,嘿嘿......

呵呵，不是还有20%么~

引用第20楼guaiguaiguan于2007-02-13 13:24发表的“”: 也用WinPE，不过如果有双系统，一般情况下都是直接去启动另外一个操作系统删除驱动，特别是自己的驱动出了bug，导致安全模式也无法启动时。 WINPE是微软的吗？如果开源就好了，大家在上面可以自己自由DIY。   现在看来在操作系统下面反流氓、反root、反木马，由于自身难以实现操作系统的功能，只能调用系统函数，这些函数如果被hook，那么就需要反hook进行恢复，如果不反hook，就要拼启动顺序和退出顺序，似乎没有第2条道路。无论是hook也好，反hook罢，即便直接发送irp，也终究还是调用微软提供的API，纵总有七十二变，自始至终没有跳出微软（如来佛）的手掌心。 哪怕是借用BIOS中断直接读取磁盘物理扇区，修改扇区也好，不过这样的文章难得一觅。

Winpe是windows的预启动环境,也就是最小化的windows...相当于win3.2时代的dos

离开windows操作系统编辑注册表的感觉。。。说实在的很美妙

也用WinPE，不过如果有双系统，一般情况下都是直接去启动另外一个操作系统删除驱动，特别是自己的驱动出了bug，导致安全模式也无法启动时。
WINPE是微软的吗？如果开源就好了，大家在上面可以自己自由DIY。
   现在看来在操作系统下面反流氓、反root、反木马，由于自身难以实现操作系统的功能，只能调用系统函数，这些函数如果被hook，那么就需要反hook进行恢复，如果不反hook，就要拼启动顺序和退出顺序，似乎没有第2条道路。无论是hook也好，反hook罢，即便直接发送irp，也终究还是调用微软提供的API，纵总有七十二变，自始至终没有跳出微软（如来佛）的手掌心。
  哪怕是借用BIOS中断直接读取磁盘物理扇区，修改扇区也好，不过这样的文章难得一觅。

WINPE不错,我经常在他下面用DARKSPY来恢复其他OS下的注册表,嘿嘿,杀流氓基本无敌.

引用第17楼guaiguaiguan于2007-02-13 12:44发表的“”:
不知道如果广告商不买单，还有没有人做流氓。
    还是比较欣赏sysinternals提供那个ntfspro那个工具以及norton新版的ghost，他们能够不依赖操作系统直接在DOS存取NTFS分区，有了它，还可以回到DOS拼杀，而不用依赖WIndows的系统调用。只是纯DOS环境下，即便拥有NTFSPRO工具的支持还是不能直接存取注册表。
   ntfspro不知道怎么实现的？是否是一个拦截int 13h TSR程序啊？但在这个TSR中提供了对NTFS分区的支持。

用WINPE不是简单得太多了。呵呵

不知道如果广告商不买单，还有没有人做流氓。
    还是比较欣赏sysinternals提供那个ntfspro那个工具以及norton新版的ghost，他们能够不依赖操作系统直接在DOS存取NTFS分区，有了它，还可以回到DOS拼杀，而不用依赖WIndows的系统调用。只是纯DOS环境下，即便拥有NTFSPRO工具的支持还是不能直接存取注册表。
   ntfspro不知道怎么实现的？是否是一个拦截int 13h TSR程序啊？但在这个TSR中提供了对NTFS分区的支持。

引用第15楼xikug于2007-02-13 10:24发表的“”:


像yahoo，cnnic这些大牌流氓可能会去签吧。。。

传说老V经常签

引用第13楼znsoft于2007-02-13 09:04发表的“”:
64bt下,所有内核部件都要签名,那些流氓总不能去签名吧?还不怕公安抓?

像yahoo，cnnic这些大牌流氓可能会去签吧。。。

引用第11楼xyzreg于2007-02-13 03:14发表的“”:
还有，杀毒U盘和rootkit没太大关系，呵呵，你运行时跑到内存里啊~  再说了，比如hook FSD或者disk.sys隐藏自身文件，你找不到我文件扫什么毒呢？~    

其实搞到最后谁先运行就谁厉害。  当然，这是再拿不到样本的情况下，拿到样本具体分析后总会有对付的办法。

RK和ANTI-RK路无止境~   事先装了SSM或者比SSM还变态的HIPS的机器下，rootkit就比较难安装成功了。不过路还是有的：ring3进入ring0的0day。但是，你的程序运行时HIPS不允许你执行你也没辙。但是在实战中还是有可能突破SSM，比如DOC,IE的exp，shellcode写得很好点，有进ring0的0day辅助，就可以bypass SSM了~   SSM对“技术”的以为追求注定了该产品小家子气，成不了主流，毕竟大多用户是菜鸟，除非他的理念有所改变。

SSM还是得靠0DAY呀，XYZREG弄点通用的办法

64bt下,所有内核部件都要签名,那些流氓总不能去签名吧?还不怕公安抓?

现在也就在32BIT下还能折腾,到64BIT下,看你们还如何折腾?估计80%的RK和ANTI RK可以消失了,嘿嘿......

还有，杀毒U盘和rootkit没太大关系，呵呵，你运行时跑到内存里啊~  再说了，比如hook FSD或者disk.sys隐藏自身文件，你找不到我文件扫什么毒呢？~    

其实搞到最后谁先运行就谁厉害。  当然，这是再拿不到样本的情况下，拿到样本具体分析后总会有对付的办法。

RK和ANTI-RK路无止境~   事先装了SSM或者比SSM还变态的HIPS的机器下，rootkit就比较难安装成功了。不过路还是有的：ring3进入ring0的0day。但是，你的程序运行时HIPS不允许你执行你也没辙。但是在实战中还是有可能突破SSM，比如DOC,IE的exp，shellcode写得很好点，有进ring0的0day辅助，就可以bypass SSM了~   SSM对“技术”的以为追求注定了该产品小家子气，成不了主流，毕竟大多用户是菜鸟，除非他的理念有所改变。

其实不考虑用户嫌烦以及误报的话，主动防御HIPS式的监控还是很有杀伤力的~

兵来将挡，水来土掩~  

硬件查毒？太没有通用性了，想都别想