收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 虚拟机讨论区 强大的Clean Slate(新增3点)
12345678下一页
返回列表 发新帖
楼主: darkwolf_99
 收起左侧

[讨论] 强大的Clean Slate(新增3点)

   关闭 [复制链接]
lrcatcn
发表于 2011-6-9 13:06:48 | 显示全部楼层
本帖最后由 lrcatcn 于 2011-6-9 13:07 编辑
darkwolf_99 发表于 2011-6-9 12:43
一款软件的使用不可能不谈易用性,而且还原类影子类,易用性甚至更重要,未必你要求只装这类东东,就能 ...


赞同,防毒不是此类软件的作用。
只装影子系统还而不装防毒软件单奔的人只有两种,
要么是真正的高手,要么是“自认为”的高手。


详见:http://bbs.kafan.cn/thread-896074-1-1.html
回复

举报

3690036
发表于 2011-6-9 13:13:27 | 显示全部楼层
darkwolf_99 发表于 2011-6-9 12:43
一款软件的使用不可能不谈易用性,而且还原类影子类,易用性甚至更重要,未必你要求只装这类东东,就能 ...

上卡饭上都是这个水平的话,那也太那个卡饭了,连文件系统过滤和磁盘系统过滤的差别都不知道。

文件系统过滤根本无法截取到对磁盘的RAW操作,这个是不需要加驱动的,CreateFile,WriteFile这些标准的API就能穿的。懂不?
回复

举报

darkwolf_99
 楼主| 发表于 2011-6-9 13:37:35 | 显示全部楼层
本帖最后由 darkwolf_99 于 2011-6-9 13:48 编辑
3690036 发表于 2011-6-9 13:13
上卡饭上都是这个水平的话,那也太那个卡饭了,连文件系统过滤和磁盘系统过滤的差别都不知道。

文件系 ...


没法回答20L的问题,就开始扯别的。差别我当然知道,是你不知道还原类和影子类软件的适用范围


呵呵,你就找个影子和还原类的单奔吧,“自以为的高手“,慢走,不送




回复

举报

3690036
发表于 2011-6-9 13:47:29 | 显示全部楼层
darkwolf_99 发表于 2011-6-9 13:37
没法回答20L的问题,就开始扯别的。差别我当然知道,是你不知道软件应该有易用性

这个开放平台下谈论是技术,不敢在卡饭和我讨论技术吗?你告诉我你懂的,文件过滤实现和磁盘过滤实现的区别是什么?对于RAW直接操作操作Volume的行为,文件过滤能拦截到吗?
回复

举报

darkwolf_99
 楼主| 发表于 2011-6-9 13:49:53 | 显示全部楼层
本帖最后由 darkwolf_99 于 2011-6-9 13:50 编辑
3690036 发表于 2011-6-9 13:47
这个开放平台下谈论是技术,不敢在卡饭和我讨论技术吗?你告诉我你懂的,文件过滤实现和磁盘过滤实现的区 ...


呵呵,在虚拟还原区,还在一直谈还原类和影子类的安全性,你还是看看这个吧,没必要再次无聊的再讨论,”高手“,http://bbs.kafan.cn/thread-896074-1-1.html
回复

举报

3690036
发表于 2011-6-9 13:50:52 | 显示全部楼层
darkwolf_99 发表于 2011-6-9 13:49
呵呵,在虚拟还原区,还在谈还原类和影子类的安全性,你还是看看这个吧,没必要再次无聊的再讨论,”高 ...

两个简单的内核问题都不会回答?呵呵,真是见识到了本色。
回复

举报

darkwolf_99
 楼主| 发表于 2011-6-9 13:51:45 | 显示全部楼层
3690036 发表于 2011-6-9 13:50
两个简单的内核问题都不会回答?呵呵,真是见识到了本色。

一个连影子类和还原类软件的适用范围都不知道的人,真是”高手“
回复

举报

3690036
发表于 2011-6-9 13:53:14 | 显示全部楼层
darkwolf_99 发表于 2011-6-9 13:51
一个连影子类和还原类软件的适用范围都不知道的人,真是”高手“

还原卡是影子类还是还原类?
回复

举报

darkwolf_99
 楼主| 发表于 2011-6-9 13:54:24 | 显示全部楼层
本帖最后由 darkwolf_99 于 2011-6-9 13:56 编辑
3690036 发表于 2011-6-9 13:53
还原卡是影子类还是还原类?


影子类和还原类,安全性和易用性,哪个更重要?

建议你还是先看看这个,指望影子类和还原类来完全防毒,呵呵,http://bbs.kafan.cn/thread-896074-1-1.html
回复

举报

3690036
发表于 2011-6-9 14:09:08 | 显示全部楼层
darkwolf_99 发表于 2011-6-9 13:54
影子类和还原类,安全性和易用性,哪个更重要?

建议你还是先看看这个,指望影子类和还原类来完全防 ...

又不回答我的问题了,问一个问题,你就扯开了,到底是不懂,还是胆怯?

影子类和还原类,这个说法本身就是很可笑的分类,只有外行才会这么分。哥跟你简单普及一下。

因为你根本不知道这类软件实现的层面是在Windows的哪个层。

RING3 API HOOK能实现还原,这个RING3层的,常见的有虚拟桌面类软件软件

RING0 Inline HOOK也能实现还原,比如HOOK NtCreateFile,NTWriteFile,实现文件读写的重定向,常见的有虚拟桌面软件,Sandbox类。

文件层还原是比RING0 HOOK更为妥当的方法,把Write IRP和QUERY IRP重定向到缓冲区是一种常见方法,当然也有微软的写时备份文件的方法实现的系统还原。

卷过滤是大多数虚拟影子类最常见的实现模式,大部分是把IRP读写进行排队,然后把写操作定向到缓冲区,读的时候再从缓冲区取出来。比如Powershadow。

综合文件层还原和卷过滤还原的,有比如Returnil,ShaodwDefender,360Amigo等。他们可以实现特殊文件的穿透,用文件层过滤来辅助卷过滤层,实现某些文件不还原。

还有一类影子直接替换系统ATAPI小端口驱动的读写函数,号称能防机器狗的都是在这层或者类似的层面工作,比卷过滤有更好的防穿性。

从实现方式上,以上各种方式越靠近底层的实现越安全,因为不靠近底层的话,就会被绕过,直接从它下层工作绕过保护。

评分

参与人数 1人气 +1 收起 理由
leisong + 1 面对无理挑衅,还是那么从容

查看全部评分

回复

举报

下一页 »
12345678下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 20:31 , Processed in 0.101842 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表