360最近到底做了什么啊

myzuzong

小丑鱼ZZW 发表于 2011-9-6 22:19
呵呵，老问题了。我还是觉得UAC真的就是一无是处....试想下载下来一个应用程序，双击，UAC提示。你说是点 ...

很明显你的理解太片面了。UAC不是运行提示器。首先，病毒木马很多情况没有显式请求提权，运行在UAC虚拟化模式下，文件系统操作和注册表操作是重定向的。即使显式请求提权，可以看到数字签名信息，没有数字签名的绝对先点否。此外程序位置也可以帮助判断。另外，如果在没有操作的情况下突然弹出UAC，你也应该有所警惕。你可以到样本区去一个一个试，看看UAC能防住多少病毒。就连最近说的牛逼哄哄的ads流病毒也拿UAC没办法。UAC怎么会是一无是处呢？

z13667152750

小丑鱼ZZW 发表于 2011-9-6 22:31
嗯嗯，如果要安全，那是安软的事，我不可能从UAC中判断他是不是毒？而且既然用户都双击了，那么显然是允许 ...

一堆xp下的病毒直接失效(无UAC提示）

我认为UAC更重要的是培养软件开发者的 权限 安全意识

小丑鱼ZZW

myzuzong 发表于 2011-9-6 22:31
很明显你的理解太片面了。UAC不是运行提示器。首先，病毒木马很多情况没有显式请求提权，运行在UAC虚拟化 ...

现在有多少第三方的软件有数字签名呢？如果没有就不用了？而且数字签名不是也可以伪造的么？
另外你所说的一个个去样本区试....那么只要弹窗就算是UAC成功了，那么它岂不是误报率也很大么？

z13667152750

小丑鱼ZZW 发表于 2011-9-6 22:34
现在有多少第三方的软件有数字签名呢？如果没有就不用了？而且数字签名不是也可以伪造的么？
另外你所说 ...

伪造签名想骗过UAC是不可能的

而且伪造的或者被吊销的签名和没有签名的程序一样弹红色窗口，如果用户自己有安全意识的话就应该知道：这种情况比没有签名更加危险

小丑鱼ZZW

z13667152750 发表于 2011-9-6 22:36
伪造签名想骗过UAC是不可能的

而且伪造的或者被吊销的签名和没有签名的程序一样弹红色窗口，如 ...

好吧...这点我不是太清楚，很久没用过了，而且也没碰到过伪造的签名（当然这个世界上没用绝对的，说不定就可以骗过呢）...每人对UAC看法不一样，你说的也对...呵呵

z13667152750

小丑鱼ZZW 发表于 2011-9-6 22:39
好吧...这点我不是太清楚，很久没用过了，而且也没碰到过伪造的签名（当然这个世界上没用绝对的，说不定就 ...

伪造签名是不可能骗过uac的



个人签名的程序想骗过uac的前提是：绕过uac把自己的公钥加入windows的可信根证书中
但是可以绕过uac了还要骗uac干嘛？

而且想绕过uac提权非常困难

myzuzong

小丑鱼ZZW 发表于 2011-9-6 22:34
现在有多少第三方的软件有数字签名呢？如果没有就不用了？而且数字签名不是也可以伪造的么？
另外你所说 ...

很明显你没看懂我说的。UAC根本不是运行提示器。不是说提示你你就点否，就防住了。而是说许许多多病毒木马根本就不触发UAC弹窗。你到样本区去下载下来双击，根本不弹UAC，UAC直接将其虚拟化，根本就造成不了危害。还有我根本就没有提到第三方软件，UAC又不是安全软件，只是Windows提供的一种安全措施，用于权限控制。如果第三方软件捆绑病毒，病毒释放到临时文件，请求提权，你显然可以从UAC提示看出一些异常。但是我从来没有说过UAC可以解决一切。而你的UAC一无是处的理论显然也是错误的。因为我已经找到不止一处优点了。

小丑鱼ZZW

myzuzong 发表于 2011-9-6 22:42
很明显你没看懂我说的。UAC根本不是运行提示器。不是说提示你你就点否，就防住了。而是说许许多多病毒木马 ...

呵呵，别激动，你说“UAC将其虚拟化，根本造成不了危害”是什么意思？

小丑鱼ZZW

z13667152750 发表于 2011-9-6 22:42
伪造签名是不可能骗过uac的

你说“绕过了UAC还要骗UAC干嘛”是不是指如果都能绕过了，为什么还要数字签名？当然是要骗安软了....

z13667152750

小丑鱼ZZW 发表于 2011-9-6 22:56
你说“绕过了UAC还要骗UAC干嘛”是不是指如果都能绕过了，为什么还要数字签名？当然是要骗安软了....

安软也没那么好骗的，安软可以采用独立的签名验证，不直接调用微软自己的验证机制

当然，还是对部分安软有效