问一个有关主动防御的问题！

显示全部楼层 · 发表于 2011-7-5 17:16:12

本帖最后由 chujunci 于 2011-7-5 17:29 编辑

现在还有多少杀软是修改SSDT表来拦截恶意行为的？我记得卡巴6.0好像就是的吧！
如果是这样的话，那能否让木马搜索当前的SSDT表，在搜索系统原有的SSDT表，然后在让原有的SSDT表把当前被修改的SSDT表给替换掉或者覆盖掉，这样的话不就能突破主防了！一旦主防被突破那剩下还不是非常EASY?

一家之言不知道是否可以，还望各位大侠给予解答！当然也可以设计这样一个程序。木马在第一次运行的时候不要做任何触发主动防御的动作，把这些动作都写在响应WM_Close消息的模块中，然后执行关机，在关机过程中这些触发主动防御的动作都不会被拦截。
　　
　　比如利用关机过程安装恢复SSDT 的驱动，重启后可以完全干掉某些杀软主动防御功能。

显示全部楼层 · 发表于 2011-7-5 17:19:31

不加驱动能做到么？加驱动主防不拦截么？当然某些智能的就不拦截了

显示全部楼层 · 发表于 2011-7-5 17:21:59

楼主好厉害

显示全部楼层 · 发表于 2011-7-5 17:23:54

jefffire 发表于 2011-7-5 17:19
不加驱动能做到么？加驱动主防不拦截么？当然某些智能的就不拦截了

那如果不直接调用ring3的api函数，调用低层（没有被监控）函数呢？

显示全部楼层 · 发表于 2011-7-5 17:26:01

jefffire 发表于 2011-7-5 17:19
不加驱动能做到么？加驱动主防不拦截么？当然某些智能的就不拦截了

还有可以修改程序的入口点，加入新的一节，执行阻断杀软的代码，然后jump到程序原入口点可以吗？

显示全部楼层 · 发表于 2011-7-5 17:34:07

chujunci 发表于 2011-7-5 17:23
那如果不直接调用ring3的api函数，调用低层（没有被监控）函数呢？

现在的主防监控点都相对完善了，哪有那么多没被监控的函数给你利用

显示全部楼层 · 发表于 2011-7-5 18:30:56

现在的主防已经很完善了，除了友好恐吓导致被利用突破主防。

显示全部楼层 · 发表于 2011-7-5 19:03:16

-----------然后执行关机，在关机过程中这些触发主动防御的动作都不会被拦截。------------

你这是想象，360云主防在关机时也可以拦截恶意操作，其它主防未知

显示全部楼层 · 发表于 2011-7-5 19:09:26

搜索的时候主动防御就拦截了

显示全部楼层 · 发表于 2011-7-5 19:19:42

SSDT是什么？求科普

[讨论] 问一个有关主动防御的问题！