建议内核加固增加一项规则

显示全部楼层 · 发表于 2011-8-5 14:48:41

本帖最后由星空下的吻于 2011-8-5 15:14 编辑

最近2012等的大家很着急,不过还是想要提一个2011的建议

就是在内核加固中增加"修改目标进程的内存",尤其是系统进程以及信任的应用程序.

之所以建议增加这个项目,原因有二:

1.这是一项恶意程序经常利用的一项远程注入技术,能够完全掌握目标程序,使其成为傀儡,执行各种恶意行为;
对于直接信任具有数字签名程序机制的防御软件更加是隐患,恰巧瑞星就是这样;

2.木马防御能够在一定程度上防御这个行为带来的一系列后果,但是往往处理的不是很完美,
会有一些多余的动作无法拦截干净,可以试试我给出的样本.

瑞星在SSDT中均挂钩了类似NtWriteVirtualMemory的底层函数,相信实现难度不大;

希望2012更加美好!

样本链接:http://bbs.kafan.cn/forum.php?mo ... =1045563&extra=

显示全部楼层 · 发表于 2011-8-5 14:58:32

附件是什么？

显示全部楼层 · 发表于 2011-8-5 15:04:46

heaven888 发表于 2011-8-5 14:58
附件是什么？

就一个利用此项技术的病毒

显示全部楼层 · 发表于 2011-8-5 15:06:44

星空下的吻发表于 2011-8-5 15:04
就一个利用此项技术的病毒

那就发到样本区，然后链接过来

显示全部楼层 · 发表于 2011-8-5 18:24:20

星空下的吻发表于 2011-8-5 15:04
就一个利用此项技术的病毒

AD项目太少了

显示全部楼层 · 发表于 2011-8-5 18:56:56

不错的建议，呵呵，相信2012不会让大家失望的。

显示全部楼层 · 发表于 2011-8-5 19:07:00

2012应该也快了吧，很是期待。。。

显示全部楼层 · 发表于 2011-8-5 19:33:58

dll没有exe也不能注入赛

显示全部楼层 · 发表于 2011-8-5 20:25:58

不错，希望越来越完善，期待更好的2012。

显示全部楼层 · 发表于 2011-8-5 20:26:35

我是菜鸟,希望添加更多的白名单

[瑞星] 建议内核加固增加一项规则