驱动小牛
|
阅读:10179回复:59
针锋相对360,瑞星也有保险箱!
瑞星全功能体验版最大的技术亮点之一,就是全新打造的“账号保险柜”功能,这是主动防御技术延展出来的全新技术应用模式,用户只需将网游、网银、聊天、股票等软件放到“账号保险柜”中,就可以放心使用,瑞星会有效阻止盗号木马的攻击和盗取。
http://it.rising.com.cn/Channels/Info/Rav_news/Rav_news/2007-09-03/1188790541d43859.shtml 大家都看看吧. |
最新喜欢:cyliu |
沙发#
发布于:2007-09-03 15:07
拾人牙慧,毫无创意,一看就是行将就木的公司,还不如叫瑞星保险套算了。
|
|
板凳#
发布于:2007-09-03 22:25
360也不过拾人牙慧而已. 你当它很有创意?
虽然不做流氓了, 穿上西装, 可是怎么看都不像绅士. 相同理念的沙盒应用早就有了. |
|
地板#
发布于:2007-09-04 09:12
这样讲来,都是江民是最早有的
叫江民密保 |
|
|
地下室#
发布于:2007-09-04 09:58
江民那个是R3钩子,瑞星的是SDT 钩子
两个都够土 那个保险箱就是一个瑞星2008设置修改器,,什么也没多~ |
|
|
驱动小牛
|
5楼#
发布于:2007-09-04 17:47
一般钩子对付大多数木马就够了,HOOK GDI SetWindowsHookEx, Hook Nt(Read)WriteVirualMemory,难道瑞星仅此?
|
6楼#
发布于:2007-09-04 18:43
引用第5楼wangjianfeng于2007-09-04 17:47发表的 : 你有什么好的建议?? |
|
|
驱动小牛
|
7楼#
发布于:2007-09-05 08:20
我当然没有,我是菜鸟,我是说瑞星这么多人才,应该有更好的解决办法才是.
|
8楼#
发布于:2007-09-06 09:37
引用第5楼wangjianfeng于2007-09-04 17:47发表的 : 只HOOK这两个函数的话,如果在保险箱运行之前,已经有全局钩子存在的话,一样会被注入 |
|
9楼#
发布于:2007-09-07 10:00
引用第4楼WQXNETQIQI于2007-09-04 09:58发表的 : 不管你江民用 ring3钩子 还是 瑞星用SDT钩子. 广大老百姓不知道阿.就被糊弄过去了. 对于驱网的牛X是真的不值得一提 但是这也是他们的一个噱头-- 所谓 外行看热闹,内行看门道 被忽悠的只是那些千千万万的老百姓 而咱们程序员能被忽悠么 ? |
|
|
10楼#
发布于:2007-09-07 13:08
其实hook也是无奈的啊~
不过可以尝试像VMW一样猥琐的虚拟技术来工作,不过需要处理好shadow memory和shadow disk的使用~ 超级复杂啊~~ |
|
|
11楼#
发布于:2007-09-08 11:30
引用第5楼wangjianfeng于2007-09-04 17:47发表的 : 在说瑞星差之前,为什么自己的 360 做好.... 360 保险箱也只能对付一般的木马. 什么独辟安全运行空间,百毒不侵,简直扯淡. 只不过在内核中INLINE 两个函数而已,把自己宣传的跟虚拟机一样. 瑞星的SDT 怎么了?比360 差吗? 只不过360的行为比较流氓卑鄙而已. 看看360 是怎么挂钩: lkd> u 80541855 nt!KiFastCallEntry+0xe5: 80541855 e9f2acbb71 jmp f20fc54c 8054185a 8bfc mov edi,esp 8054185c 3b3514215680 cmp esi,dword ptr [nt!MmUserProbeAddress (80562114)] 还欺骗用户说 "内核级编程技术,简洁高效" ? INLINE 了 KiFastCallEntry 函数,怎么个高效法? 能监视进线程的打开和创建,而又不被检测出 SSDT HOOK 和 INLINE HOOK ,那是因为它在 KiFastCallEntry 里对索引值进行过滤....,不要把这种卑鄙的手法当技术来炫耀...... "增强型自我保护,坚不可摧" ? 真的坚不可摧吗? 暂且不说怎么去它保护,除了任务管理器,随便冰刃什么之类的不能结束它吗? lkd> d f2103128 f2103128 25 00 00 00 d2 8e 57 80-d2 8e 57 80 01 00 00 00 %.....W...W..... f2103138 00 00 00 00 5a 77 43 72-65 61 74 65 46 69 6c 65 ....ZwCreateFile f2103148 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ f2103158 00 00 00 00 b7 00 00 00-8e c2 57 80 8e c2 57 80 ..........W...W. f2103168 01 00 00 00 00 00 00 00-5a 77 52 65 61 64 46 69 ........ZwReadFi f2103178 6c 65 00 00 00 00 00 00-00 00 00 00 00 00 00 00 le.............. 把函数的保护位置零,用任务管理器也能结束360 保险箱保护程序包括360 保险箱. 把保险箱 INLIEN 的两处恢复掉,就什么保护都没了,而360 保险箱却显示正在保护 XXXX INLINE 被恢复后都没检测一下就煞有介事的告诉用户正在保护,真无语了..... "专门对键盘驱动、窗体挂钩、只读内存等木马常用的偷窃手段进行有效防护....." ? 木马只要有权限加载驱动,360 保险箱根本防不住... Detach 键盘驱动也只是某些键盘过滤而已,更偏底层的照样记录.. 免费的软件我们是不应该指责什么,但是欺骗我们这些普通用户那就太不对了. 如果把那些做虚假广告和厂商之间相互攻击的功夫,多多拿去研究些有用上的技术,自然会有广大 用户为你宣传. 声明: 我并不是瑞星的,只是看不贯那些相互攻击而已. |
|
12楼#
发布于:2007-09-08 13:19
引用第11楼yangtengfei于2007-09-08 11:30发表的 : 无可奈何啊~ SSDT Hook比较稳定~ inline hook一下obXXX来防止icesword杀进程 hook kexxx 防dll全局hook插入 hook kisystemservice 来过滤ntgdi/ntuser系列函数比hook shadowTable的函数方便~ |
|
|
13楼#
发布于:2007-09-08 13:20
另外VM技术非常复杂,如果你们搞过就知道多困难了~
|
|
|
14楼#
发布于:2007-09-09 14:19
引用第13楼killvxk于2007-09-08 13:20发表的 : 老V放个VM技术的东西出来,让大家也开开眼。。。。。。 |
|
|
15楼#
发布于:2007-09-09 15:34
引用第11楼yangtengfei于2007-09-08 11:30发表的 : 没什么好愤怒的啦。360也没说自己做得好,都是烂大街的技术,没什么好说的。 一个产品的开发、发布、维护是一个商业行为。如何宣传,如何炒作,我们这些技术人员是没办法干涉的。 360safebox的定位就是对付普通木马。不管使用的技术有多差,只要能够达到目的就可以了。 至少目前对ring 3的木马(非感染型的,感染型的游戏客户端自己会搞定),用这种方法是可以抵挡住的。这对普通用户来说就已经足够了。 如果要做驱动加载拦截、防杀、防删、防篡改、防ARP欺骗、防数据泄漏等,只要你可以想到的,基本上都可以做到吧。也没什么困难可言。但是请记住“没有不透风的墙”这句话。不管你怎么防,都是可以被别人搞定的。就算是vm也是如此。 另外,做十万、百万级用户的产品和受众面小的rootkit、木马是不同的。稳定性是最重要的。性能、功能和稳定性如何取舍?这个不光是开发人员要想的问题。 呵呵。所以说嘛…… |
|
16楼#
发布于:2007-09-09 16:04
现在才1.0版啊,框架搭好了以后塞什么技术都行,支持道士
|
|
17楼#
发布于:2007-09-09 16:51
感觉DOSKEY说得挺对的,稳定大于一切
|
|
18楼#
发布于:2007-09-09 19:08
不过也不是很稳定,有些BT玩意也inline hook kiXXX和keXXX,然后还有大量的栈xxx
|
|
|
19楼#
发布于:2007-09-10 10:50
不认技术,只看疗效。
若真想否定某软件的技术不行,办法很简单,找一款曾经(或现在)流行的、而且又能逃过的木马来,好不好一比就明。 当然,理论上的不算。 |
|
上一页
下一页