阅读反流氓、反木马和rootkit版有感

  自从驱网有了反流氓、反木马和rootkit版之后，国内关注rootkit的人有了一个新的交流的好地

方。在看过一篇篇高手的文章之后，忽然让我感觉回到了DOS时代，那时候普通程序的权力和系统

是一样的，现在的rootkit和操作系统的权力也是一样的，所以rootkit技术的使用者(不是创造者

)津津乐道于随心所欲的玩弄反病毒程序。在此我们猜想，如果有一天反病毒厂商开始搞防毒硬件

产品(比如杀毒U盘)，rootkit再一次面临被绞杀的局面。这样rootkit是否又回到了加壳，加密，变形

使反病毒程序难于发现的老路上，编写病毒rootkit的技术是不是再一次得到发展呢。







欢迎大家拍砖

现在的OS架构导致了恶意程序很难被绞杀,如果大家都按当初INTEL设计的那样,OS核心在RING0,驱动服务在1,2,应用在RING3的话,那么很多问题就很好解决了,但现在大家都不那么做,要么RING0,要么RING3,就难控制了......

如果有一天反病毒厂商开始搞防毒硬件产品(比如杀毒U盘)

硬件产品？不懂。。。还没这个概念。。。

硬件产品能让rootkit在系统上扎不了根？

大概是说硬件产品可以不依赖本机的操作系统，比如U盘启动，这样ROOTKIT就没有启动的机会，当然也无法做手脚了，就算扎了根也可以连根拔掉。为了避免这个结局，所以需要在变形、加密上多下功夫。

引用第3楼GNiDiA于2007-02-12 13:46发表的“”:
大概是说硬件产品可以不依赖本机的操作系统，比如U盘启动，这样ROOTKIT就没有启动的机会，当然也无法做手脚了，就算扎了根也可以连根拔掉。为了避免这个结局，所以需要在变形、加密上多下功夫。

我想应该不是吧。。。ROOTKIT就没有启动的机会，怎么变形加密也没用吧。。。

硬件查毒是不可以启动，但是用系统的时候不就启动了。变形加密是为了改变自己的病毒特征码吧，这样过不了虚拟机＋行为判别杀毒

引用第1楼wowocock于2007-02-12 11:55发表的“”:
现在的OS架构导致了恶意程序很难被绞杀,如果大家都按当初INTEL设计的那样,OS核心在RING0,驱动服务在1,2,应用在RING3的话,那么很多问题就很好解决了,但现在大家都不那么做,要么RING0,要么RING3,就难控制了......

呵呵，微软这么做也是为了windows能移植到别的CPU架构上

引用第6楼bigbian于2007-02-12 14:47发表的“”:




呵呵，微软这么做也是为了windows能移植到别的CPU架构上

现在MS也就在X86 CPU上好点吧,其他的上面基本上是节节败退.......

硬件查毒？太没有通用性了，想都别想

兵来将挡，水来土掩~  

其实不考虑用户嫌烦以及误报的话，主动防御HIPS式的监控还是很有杀伤力的~

还有，杀毒U盘和rootkit没太大关系，呵呵，你运行时跑到内存里啊~  再说了，比如hook FSD或者disk.sys隐藏自身文件，你找不到我文件扫什么毒呢？~    

其实搞到最后谁先运行就谁厉害。  当然，这是再拿不到样本的情况下，拿到样本具体分析后总会有对付的办法。

RK和ANTI-RK路无止境~   事先装了SSM或者比SSM还变态的HIPS的机器下，rootkit就比较难安装成功了。不过路还是有的：ring3进入ring0的0day。但是，你的程序运行时HIPS不允许你执行你也没辙。但是在实战中还是有可能突破SSM，比如DOC,IE的exp，shellcode写得很好点，有进ring0的0day辅助，就可以bypass SSM了~   SSM对“技术”的以为追求注定了该产品小家子气，成不了主流，毕竟大多用户是菜鸟，除非他的理念有所改变。

现在也就在32BIT下还能折腾,到64BIT下,看你们还如何折腾?估计80%的RK和ANTI RK可以消失了,嘿嘿......

64bt下,所有内核部件都要签名,那些流氓总不能去签名吧?还不怕公安抓?

引用第11楼xyzreg于2007-02-13 03:14发表的“”:
还有，杀毒U盘和rootkit没太大关系，呵呵，你运行时跑到内存里啊~  再说了，比如hook FSD或者disk.sys隐藏自身文件，你找不到我文件扫什么毒呢？~    

其实搞到最后谁先运行就谁厉害。  当然，这是再拿不到样本的情况下，拿到样本具体分析后总会有对付的办法。

RK和ANTI-RK路无止境~   事先装了SSM或者比SSM还变态的HIPS的机器下，rootkit就比较难安装成功了。不过路还是有的：ring3进入ring0的0day。但是，你的程序运行时HIPS不允许你执行你也没辙。但是在实战中还是有可能突破SSM，比如DOC,IE的exp，shellcode写得很好点，有进ring0的0day辅助，就可以bypass SSM了~   SSM对“技术”的以为追求注定了该产品小家子气，成不了主流，毕竟大多用户是菜鸟，除非他的理念有所改变。

SSM还是得靠0DAY呀，XYZREG弄点通用的办法

引用第13楼znsoft于2007-02-13 09:04发表的“”:
64bt下,所有内核部件都要签名,那些流氓总不能去签名吧?还不怕公安抓?

像yahoo，cnnic这些大牌流氓可能会去签吧。。。

引用第15楼xikug于2007-02-13 10:24发表的“”:


像yahoo，cnnic这些大牌流氓可能会去签吧。。。

传说老V经常签

不知道如果广告商不买单，还有没有人做流氓。
    还是比较欣赏sysinternals提供那个ntfspro那个工具以及norton新版的ghost，他们能够不依赖操作系统直接在DOS存取NTFS分区，有了它，还可以回到DOS拼杀，而不用依赖WIndows的系统调用。只是纯DOS环境下，即便拥有NTFSPRO工具的支持还是不能直接存取注册表。
   ntfspro不知道怎么实现的？是否是一个拦截int 13h TSR程序啊？但在这个TSR中提供了对NTFS分区的支持。

引用第17楼guaiguaiguan于2007-02-13 12:44发表的“”:
不知道如果广告商不买单，还有没有人做流氓。
    还是比较欣赏sysinternals提供那个ntfspro那个工具以及norton新版的ghost，他们能够不依赖操作系统直接在DOS存取NTFS分区，有了它，还可以回到DOS拼杀，而不用依赖WIndows的系统调用。只是纯DOS环境下，即便拥有NTFSPRO工具的支持还是不能直接存取注册表。
   ntfspro不知道怎么实现的？是否是一个拦截int 13h TSR程序啊？但在这个TSR中提供了对NTFS分区的支持。

用WINPE不是简单得太多了。呵呵

WINPE不错,我经常在他下面用DARKSPY来恢复其他OS下的注册表,嘿嘿,杀流氓基本无敌.