查看: 19730|回复: 27
收起左侧

[瑞星] 关于瑞星内核加固与木马防御存在联动的研究

  [复制链接]
星空下的吻
发表于 2011-5-29 00:18:35 | 显示全部楼层 |阅读模式
本帖最后由 星空下的吻 于 2011-5-29 17:51 编辑

之前大家可能知道瑞星的网络防火墙与木马防御模块存在联动,也就是说开启防火墙后手动放过可疑程序联网的请求,会最,大限度的提高木马防御的威力.此次与大家分享的是瑞星内核加固与木马防御存在的联动.本次实验的样本是最近自己写的一个简单的修改IE主页的程序,修改的原理就是更改Shell命名空间,使得本地普通的修改主页方式全部无效.

现在只开系统加固模块的:




只开木马防御防御失败:




同时开启:



  从以上事例可以说明瑞星内核加固与木马防御之间存在着联动,应该是瑞星的系统加固防御行为成功后能够告知木马防御模块,木马防御模块再判断是否触发规则然后给出判断;实验也证明瑞星的流氓软件规则确实是存在的,对于这样一个单步的修改主页的程序也有一定的防御能力.

  所以建议一些高级用户可以配合系统加固使用,我很早在论坛上贴出过自己的设置,无弹窗版本,没有引起大家的注意,希望这次能够给大家带来一些帮助.

样本附件:





经过官人指点,先上传通过Windows程序编译的版本,结果的确如官人所说.但是希望官人能够解释一下控制台程序出现的结果的原因!

截图:




样本只是测试使用,本身添加的网址是个人的微博,无其他恶意行为,大可放心测试.不过修改成功后确实手动不容易修改
回来,在这里提示一下!

忘记提醒了,win7平台对于开启UAC的用户是无效的.


最后的结论:
  瑞星木马防御与系统加固是相对独立的两个防御模块,在可疑程序运行的时候,文件被分析的信息将同时传达给两个模块,两个模块会给出自己的判断,并不存在所谓的联动!!


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 7经验 +25 魅力 +1 人气 +8 收起 理由
aqingge + 1 赞一个!
不知道这是剑 + 3 很给力!感谢测试~
江湖的fans + 1 + 1 赞一个!
heaven888 + 25 感谢测试
MagicFuzzX + 1 很给力!

查看全部评分

mouse168
发表于 2011-5-29 00:40:40 | 显示全部楼层
WIN7运行不了
黑猫、警长
发表于 2011-5-29 07:06:28 | 显示全部楼层
顶起   学习
hw090807
发表于 2011-5-29 09:03:13 | 显示全部楼层
学习了
zybo
发表于 2011-5-29 09:17:09 | 显示全部楼层
感谢,学习了
村支部书记
发表于 2011-5-29 09:38:33 | 显示全部楼层
不错啊,楼主很牛,不过瑞星的HIPS应该向卡巴斯基学习,卡巴那个规则我觉得很好
喀吧斯基
发表于 2011-5-29 09:51:39 | 显示全部楼层
我一直用瑞星安全助手查杀木马,原来瑞星全功能里边也有啊
newcenturysun
发表于 2011-5-29 10:08:21 | 显示全部楼层
不用研究 这个真没“联动”功能
驱动在拦截到一个动作的时候 会同时通知两个功能
其实网络连接那个 目前其实也没什么联系
只要有网络行为 无论开不开那个网络访问保护 都会同时通知木马防御

评分

参与人数 1人气 +1 收起 理由
星空下的吻 + 1 真相出现了!感谢解答!

查看全部评分

星空下的吻
 楼主| 发表于 2011-5-29 10:13:54 | 显示全部楼层
newcenturysun 发表于 2011-5-29 10:08
不用研究 这个真没“联动”功能
驱动在拦截到一个动作的时候 会同时通知两个功能
其实网络连接那个 目前其 ...

不过单开木马防御模块确实无法防御的
newcenturysun
发表于 2011-5-29 10:26:53 | 显示全部楼层
可能是内核加固拦截了那个动作后 病毒走了另一个分支 那个分支触发了木马防御规则
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 08:27 , Processed in 0.133403 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表