bigbian
驱动牛犊
驱动牛犊
  • 注册日期2003-08-23
  • 最后登录2013-01-24
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望74点
  • 贡献值0点
  • 好评度24点
  • 原创分0分
  • 专家分0分
阅读:5256回复:26

阅读反流氓、反木马和rootkit版有感

楼主#
更多 发布于:2007-02-12 11:26
  自从驱网有了反流氓、反木马和rootkit版之后,国内关注rootkit的人有了一个新的交流的好地

方。在看过一篇篇高手的文章之后,忽然让我感觉回到了DOS时代,那时候普通程序的权力和系统

是一样的,现在的rootkit和操作系统的权力也是一样的,所以rootkit技术的使用者(不是创造者

)津津乐道于随心所欲的玩弄反病毒程序。在此我们猜想,如果有一天反病毒厂商开始搞防毒硬件

产品(比如杀毒U盘),rootkit再一次面临被绞杀的局面。这样rootkit是否又回到了加壳,加密,变形

使反病毒程序难于发现的老路上,编写病毒rootkit的技术是不是再一次得到发展呢。







欢迎大家拍砖

最新喜欢:

haifengjlhaifen...
做人要厚道
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
沙发#
发布于:2007-02-12 11:55
现在的OS架构导致了恶意程序很难被绞杀,如果大家都按当初INTEL设计的那样,OS核心在RING0,驱动服务在1,2,应用在RING3的话,那么很多问题就很好解决了,但现在大家都不那么做,要么RING0,要么RING3,就难控制了......
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
板凳#
发布于:2007-02-12 13:28
如果有一天反病毒厂商开始搞防毒硬件产品(比如杀毒U盘)

硬件产品?不懂。。。还没这个概念。。。

硬件产品能让rootkit在系统上扎不了根?
http://www.debugman.com
GNiDiA
驱动小牛
驱动小牛
  • 注册日期2006-10-11
  • 最后登录2017-10-09
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望145点
  • 贡献值0点
  • 好评度124点
  • 原创分0分
  • 专家分0分
  • 社区居民
地板#
发布于:2007-02-12 13:46
大概是说硬件产品可以不依赖本机的操作系统,比如U盘启动,这样ROOTKIT就没有启动的机会,当然也无法做手脚了,就算扎了根也可以连根拔掉。为了避免这个结局,所以需要在变形、加密上多下功夫。
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
地下室#
发布于:2007-02-12 14:03
引用第3楼GNiDiA2007-02-12 13:46发表的“”:
大概是说硬件产品可以不依赖本机的操作系统,比如U盘启动,这样ROOTKIT就没有启动的机会,当然也无法做手脚了,就算扎了根也可以连根拔掉。为了避免这个结局,所以需要在变形、加密上多下功夫。


我想应该不是吧。。。ROOTKIT就没有启动的机会,怎么变形加密也没用吧。。。
http://www.debugman.com
xicao
驱动牛犊
驱动牛犊
  • 注册日期2006-02-25
  • 最后登录2017-07-29
  • 粉丝0
  • 关注0
  • 积分11分
  • 威望131点
  • 贡献值0点
  • 好评度30点
  • 原创分1分
  • 专家分0分
  • 社区居民
5楼#
发布于:2007-02-12 14:43
硬件查毒是不可以启动,但是用系统的时候不就启动了。变形加密是为了改变自己的病毒特征码吧,这样过不了虚拟机+行为判别杀毒
bigbian
驱动牛犊
驱动牛犊
  • 注册日期2003-08-23
  • 最后登录2013-01-24
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望74点
  • 贡献值0点
  • 好评度24点
  • 原创分0分
  • 专家分0分
6楼#
发布于:2007-02-12 14:47
引用第1楼wowocock2007-02-12 11:55发表的“”:
现在的OS架构导致了恶意程序很难被绞杀,如果大家都按当初INTEL设计的那样,OS核心在RING0,驱动服务在1,2,应用在RING3的话,那么很多问题就很好解决了,但现在大家都不那么做,要么RING0,要么RING3,就难控制了......




呵呵,微软这么做也是为了windows能移植到别的CPU架构上
做人要厚道
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
7楼#
发布于:2007-02-12 15:02
引用第6楼bigbian2007-02-12 14:47发表的“”:




呵呵,微软这么做也是为了windows能移植到别的CPU架构上

现在MS也就在X86 CPU上好点吧,其他的上面基本上是节节败退.......
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
8楼#
发布于:2007-02-12 15:05
硬件查毒?太没有通用性了,想都别想
驱动开发者 呵呵
xyzreg
驱动小牛
驱动小牛
  • 注册日期2005-06-20
  • 最后登录2009-12-06
  • 粉丝0
  • 关注0
  • 积分294分
  • 威望173点
  • 贡献值0点
  • 好评度164点
  • 原创分0分
  • 专家分0分
9楼#
发布于:2007-02-13 03:00
兵来将挡,水来土掩~  
xyzreg
驱动小牛
驱动小牛
  • 注册日期2005-06-20
  • 最后登录2009-12-06
  • 粉丝0
  • 关注0
  • 积分294分
  • 威望173点
  • 贡献值0点
  • 好评度164点
  • 原创分0分
  • 专家分0分
10楼#
发布于:2007-02-13 03:01
其实不考虑用户嫌烦以及误报的话,主动防御HIPS式的监控还是很有杀伤力的~
xyzreg
驱动小牛
驱动小牛
  • 注册日期2005-06-20
  • 最后登录2009-12-06
  • 粉丝0
  • 关注0
  • 积分294分
  • 威望173点
  • 贡献值0点
  • 好评度164点
  • 原创分0分
  • 专家分0分
11楼#
发布于:2007-02-13 03:14
还有,杀毒U盘和rootkit没太大关系,呵呵,你运行时跑到内存里啊~  再说了,比如hook FSD或者disk.sys隐藏自身文件,你找不到我文件扫什么毒呢?~    

其实搞到最后谁先运行就谁厉害。  当然,这是再拿不到样本的情况下,拿到样本具体分析后总会有对付的办法。

RK和ANTI-RK路无止境~   事先装了SSM或者比SSM还变态的HIPS的机器下,rootkit就比较难安装成功了。不过路还是有的:ring3进入ring0的0day。但是,你的程序运行时HIPS不允许你执行你也没辙。但是在实战中还是有可能突破SSM,比如DOC,IE的exp,shellcode写得很好点,有进ring0的0day辅助,就可以bypass SSM了~   SSM对“技术”的以为追求注定了该产品小家子气,成不了主流,毕竟大多用户是菜鸟,除非他的理念有所改变。
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
12楼#
发布于:2007-02-13 08:46
现在也就在32BIT下还能折腾,到64BIT下,看你们还如何折腾?估计80%的RK和ANTI RK可以消失了,嘿嘿......
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2023-10-25
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
  • 社区居民
  • 最爱沙发
  • 社区明星
13楼#
发布于:2007-02-13 09:04
64bt下,所有内核部件都要签名,那些流氓总不能去签名吧?还不怕公安抓?
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
14楼#
发布于:2007-02-13 10:14
引用第11楼xyzreg2007-02-13 03:14发表的“”:
还有,杀毒U盘和rootkit没太大关系,呵呵,你运行时跑到内存里啊~  再说了,比如hook FSD或者disk.sys隐藏自身文件,你找不到我文件扫什么毒呢?~    

其实搞到最后谁先运行就谁厉害。  当然,这是再拿不到样本的情况下,拿到样本具体分析后总会有对付的办法。

RK和ANTI-RK路无止境~   事先装了SSM或者比SSM还变态的HIPS的机器下,rootkit就比较难安装成功了。不过路还是有的:ring3进入ring0的0day。但是,你的程序运行时HIPS不允许你执行你也没辙。但是在实战中还是有可能突破SSM,比如DOC,IE的exp,shellcode写得很好点,有进ring0的0day辅助,就可以bypass SSM了~   SSM对“技术”的以为追求注定了该产品小家子气,成不了主流,毕竟大多用户是菜鸟,除非他的理念有所改变。

SSM还是得靠0DAY呀,XYZREG弄点通用的办法
驱动开发者 呵呵
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
15楼#
发布于:2007-02-13 10:24
引用第13楼znsoft2007-02-13 09:04发表的“”:
64bt下,所有内核部件都要签名,那些流氓总不能去签名吧?还不怕公安抓?


像yahoo,cnnic这些大牌流氓可能会去签吧。。。
http://www.debugman.com
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
16楼#
发布于:2007-02-13 11:13
引用第15楼xikug2007-02-13 10:24发表的“”:


像yahoo,cnnic这些大牌流氓可能会去签吧。。。

传说老V经常签
驱动开发者 呵呵
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
17楼#
发布于:2007-02-13 12:44
不知道如果广告商不买单,还有没有人做流氓。
    还是比较欣赏sysinternals提供那个ntfspro那个工具以及norton新版的ghost,他们能够不依赖操作系统直接在DOS存取NTFS分区,有了它,还可以回到DOS拼杀,而不用依赖WIndows的系统调用。只是纯DOS环境下,即便拥有NTFSPRO工具的支持还是不能直接存取注册表。
   ntfspro不知道怎么实现的?是否是一个拦截int 13h TSR程序啊?但在这个TSR中提供了对NTFS分区的支持。
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
18楼#
发布于:2007-02-13 13:03
引用第17楼guaiguaiguan2007-02-13 12:44发表的“”:
不知道如果广告商不买单,还有没有人做流氓。
    还是比较欣赏sysinternals提供那个ntfspro那个工具以及norton新版的ghost,他们能够不依赖操作系统直接在DOS存取NTFS分区,有了它,还可以回到DOS拼杀,而不用依赖WIndows的系统调用。只是纯DOS环境下,即便拥有NTFSPRO工具的支持还是不能直接存取注册表。
   ntfspro不知道怎么实现的?是否是一个拦截int 13h TSR程序啊?但在这个TSR中提供了对NTFS分区的支持。

用WINPE不是简单得太多了。呵呵
驱动开发者 呵呵
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
19楼#
发布于:2007-02-13 13:09
WINPE不错,我经常在他下面用DARKSPY来恢复其他OS下的注册表,嘿嘿,杀流氓基本无敌.
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
上一页
游客

返回顶部