[讨论]大家讨论下最牛的病毒保护是怎么样的
议题作者:30956569信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
文件最牛的保护是什么保护?
如果我知道的又错误,请大家指出来.
我先说下我知道的保护;
一是双进程保护,(一个进程结束,另外一个进程启动结束的进程);
二是服务保护.(隐藏服务,服务启动);
三是硬盘分区区间保护.(写入硬盘分区盘与盘之间的空间,盘与盘之间一般又8-10M左右大小)
四是文件感染保护(写入可执行文件零区域)
五是注册表保护(注册表项目启动,注册表项目隐藏)
六是内核保护,(插入系统内核,及其危险,稍微一不注意就导致系统崩溃)
七是文件类型关联保护(启动所关联的文件类型,文件启动)
另外我想知道当年风靡一时的"江民炸弹"的原理. 上次不是有一个my123的有一个内存恢复的函数保护吗?那个觉得挺牛的,就算你删掉了它,只要有新线程或者新进程产生,就能内存自动恢复。 [s:34] 个人仍然认为隐藏重于保护。
如果我发现系统有异常情况
如果我解决不了
我也会选择系统还原直至低格。
还是那句话:要杀人于无形
个人还是比较喜欢用rootkit加系统进程插入线程。 rootkit
线程注入
无启动项 刚才看了一些东西,觉得还有一些想不到的,个人才疏学浅,看了有些还真不知道怎么实现了,
以下是我看到的,
---------------------------------------------------
a,文件拆分后放在引导区隐藏;
b,导入dll加载到系统进程保护——这个要分析线程和模块才能搞清楚了。
c,挂在系统设备驱动上加载,例如打印机驱动——上次我给害苦了。
e,写入BIOS
g,插入系统进程(不用多说了吧?)
--------------------------------------------------
我觉得
硬盘分区区间保护,引导区隐藏,还有系统设备驱动加载,这三个是真不知道实现的方式了. 不插入进程 直接启动的。 [s:72] [s:41] 汗..rootkit
不显示进程的.无启动项的就是牛B的病毒挖........! 六是内核保护,(插入系统内核,及其危险,稍微一不注意就导致系统崩溃)
很难实现吧.. [quote][b]引用第6楼[i]ˊ尐〆壞.[/i]于[i]2007-01-13 19:49[/i]发表的[/b]:
[s:41] 汗..rootkit
不显示进程的.无启动项的就是牛B的病毒挖........![/quote]
在后台看不到的,有时候在icesword里可以发现..比如最近很猖獗的科多兽变种,只要启动感染exe文件后,在TEMP下生成一个随机文件名的格式,这个文件在任务管理器的进程里看不到,你监控网络,会发现它活动频繁!
不过最近看了这里一些高人写的突破icesword的方法..受益匪浅 ... 系统服务 就是安全模式也运行 无启动项 无进程 双进程还可以 隐蔽行差点 欺负下菜鸟
内核 问题太多 不敢用啊`` 一个冰刃就能把这些保护全部KILL掉~ [quote][b]引用第5楼[i]第四维[/i]于[i]2007-01-13 19:48[/i]发表的[/b]:
不插入进程 直接启动的。 [s:72][/quote]
e.写入BIOS,这个如何弄?bios很多种的 我也听过说写入BIOS
但是不知道怎么实现 可以强行结束冰刃,原来有款流氓软件就是可以强行结束冰刃的,插系统内核的就算比较恶心的了。不过国外有新的技术:蓝色药丸(翻译过来就是这样的),是利用了CPU的一个特性,使windows运行在那个恶意程序下。 BCT的SBOX对Bios注入的讨论
[url]http://bbs.cnbct.org/thread-85-1-1.html[/url] FSD INLINE HOOK技术 Fsd Inline Hook 非公开技术
system Bus Extend驱动技术 优先级很高,连安全模式也会加载,加载成功之后,将生成三个线程附加到system系统核心进程上,获取最高权限 [quote][b]引用第16楼[i]流转[/i]于[i]2007-02-02 14:24[/i]发表的[/b]:
BCT的SBOX对Bios注入的讨论
[url]http://bbs.cnbct.org/thread-85-1-1.html[/url][/quote]
cnbct 没有帐户,现在不让注册,能给转一下不。谢谢! [quote][b]引用第16楼[i]流转[/i]于[i]2007-02-02 14:24[/i]发表的[/b]:
BCT的SBOX对Bios注入的讨论
[url]http://bbs.cnbct.org/thread-85-1-1.html[/url][/quote]
看不到这篇文章,能转载一下吗,拜谢拜谢了 [s:39] 线程诸如比较牛,前两天在机房就碰到了这样的一个病毒,可惜没能带回去研究一下。 [s:37] *** 作者被禁止或删除 内容自动屏蔽 *** *** 作者被禁止或删除 内容自动屏蔽 *** *** 作者被禁止或删除 内容自动屏蔽 *** [quote][b]引用第16楼[i]流转[/i]于[i]2007-02-02 14:24[/i]发表的[/b]:
BCT的SBOX对Bios注入的讨论
[url]http://bbs.cnbct.org/thread-85-1-1.html[/url][/quote]
可以麻烦把该帖子贴出来么?
这里很多人都没有ID,没法看。。
[s:35] 关键不看你如何保护,而是看你的启动是不是优先破坏程序的级别。
谁先占领系统控制权,谁就是老大。 [quote][b]引用第11楼[i]异常代码[/i]于[i]2007-02-01 00:58[/i]发表的[/b]:
一个冰刃就能把这些保护全部KILL掉~[/quote]
您认为冰刃就是无敌的么 :) 我认为是硬盘分区区间保护 [quote][b]引用第8楼[i]玉贝勒[/i]于[i]2007-01-13 23:43[/i]发表的[/b]:
在后台看不到的,有时候在icesword里可以发现..比如最近很猖獗的科多兽变种,只要启动感染exe文件后,在TEMP下生成一个随机文件名的格式,这个文件在任务管理器的进程里看不到,你监控网络,会发现它活动频繁!
不过最近看了这里一些高人写的突破icesword的方法..受益匪浅 ...[/quote]
请发出突突破icesword的方法,大家都看看 [quote][b]引用第2楼[i]永恒的沙加[/i]于[i]2007-01-12 20:04[/i]发表的[/b]:
个人仍然认为。
如果我发现系统有异常情况
如果我解决不了
我也会选择系统还原直至低格。
还是那句话:要杀人于无形
.......[/quote]
如果是知道系统有问题总有解决,只是时间长短吧了!隐藏是最好的保护!个人观点! 我感觉最重要的还是隐藏 最牛的病毒保护就是还原精灵。 [s:38] 前几天杀了个病毒,任务管理器,msconfig,冰刃甚至一个第三方的不怎么出名的进程管理工具都给KILL了,最后用组策略禁止了那个程序的运行才杀掉...
汉一个~~ [s:34] 高手就是不同啊。。我小弟学习学习。, 影子对病毒还好 对木马来说 影子就一废物 传说中的CIH病毒是不是很拽的了 隐藏服务 无启动项 无进程.就是牛B的病毒. 无端口,无进程,内核级保护,隐藏服务
页:
[1]