楼主: Tron
收起左侧

[技术原创] 360云主防科普 - 360云主防的过去、现在和未来 - 连载完成

  [复制链接]
BHHZDQL
发表于 2011-10-1 14:28:39 | 显示全部楼层
悟心之道 发表于 2011-10-1 14:26
小白与否只是相对的,我也是小白,不也玩了?

你对于天朝大多人来说已经不算小白了
xiaofeizei
头像被屏蔽
发表于 2011-10-1 14:31:40 | 显示全部楼层
后排跟进学习
dl123100
发表于 2011-10-1 14:34:41 | 显示全部楼层
支持下。针对1.0,提几点:
1、360主防、相关的驱动稳定性确实不错,云查杀也还行,但是急救箱相关驱动只能说一般。
2、Stuxnet的Parent Inject,也就是最近百锐宣传的某突破大量hips病毒使用的方法,虽然很常见了,但即使发布过Process Parent Inject Test的Comodo也是最近修复了某规则问题才能正确防御。
3、在内核拦截解析RPC拦截服务操作,之前国内只有微点利用ethread的MessageId做一点记录,还不支持Vista以后的系统。国外DefenseWall那时应该已经有拦截了,只是作为sandbox不需要那么提示。后来腾讯、金山学着加入了相关的拦截,也有很多人学着做这块的拦截。不过估计很多人只是照着360驱动里的解析配合自己调试多拦截几次找点规律就算完事了,不会从SCM操作发起跟踪到后面的marshal、unmarshal。
4、金山毒霸的断网保护中相对特殊的,目前只看到针对IOCTL_IP_SET_ADDRESS、IOCTL_IP_ADD_NTE、IOCTL_IP_DELETE_NTE和DhcpReleaseParameters做了拦截。

评分

参与人数 2经验 +10 人气 +1 收起 理由
七宝 + 10 dl大牛好
leisong + 1 支持第三方大牛的中立分析

查看全部评分

myzuzong
发表于 2011-10-1 14:40:26 | 显示全部楼层
一万年没看到这类文章了,楼主科普辛苦,支持一个。
比起云主防2.0 3.0 或是 8.0,我更期望传说中的最强64位主防,现在的不尽如人意啊。甚至传说中最强的粉碎机360filesmasher在64位下经常不能强行干掉文件啊。看来在内部实现上32和64有很大不同。
p.s.有一点比较好奇,64位严格保护下,不能修改内核,是如何拦截系统服务调用的呢。我想的话,作为亿级产品,肯定不会采用绕过保护手段的方式吧。曾经听说过采用“对象劫持”手段,具体是什么意思也不知。好奇。。。
Tron
头像被屏蔽
 楼主| 发表于 2011-10-1 14:41:25 | 显示全部楼层
dl123100 发表于 2011-10-1 14:34
支持下。针对1.0,提几点:
1、360主防、相关的驱动稳定性确实不错,云查杀也还行,但是急救箱相关驱动只能 ...

1.实时的防御系统需要在亿万用户系统上每时每刻运行,当然对稳定性、性能要求都是非常苛刻的,急救箱则是类似专杀的产品,用户量少,也只在系统出问题急救时才运行一下,相对要求较低了

2.父进程注入 这玩意从09年360自我保护重构开始,基本上没见到过做的比360好的,在360重构当时能做到这种强度的抗父进程注入的貌似没有,10年360主防加入AD也是复用了这个技术。

3.RPC的dw只是皮毛而已,它的判断太不准确了。marshal , unmarshal这玩意很头疼,尤其是XP SP2-SP3还有变化,在printer injection拦截里360有处理这玩意,不过RPC处理这边最强的还是新的360BOX,应该目前还没有安全软件厂商掌握这些技术
确实国内很多人学着做拦截,不过逆向只能偷走皮毛,偷不走真正的技术

4.某山断网保护基本上是个笑话了。。

评分

参与人数 2经验 +10 人气 +1 收起 理由
七宝 + 10 交互不错
dl123100 + 1

查看全部评分

Lance6716
发表于 2011-10-1 14:46:16 | 显示全部楼层
原来多段攻击转化为单段攻击进行判断有这个好处...
留名
jefffire
头像被屏蔽
发表于 2011-10-1 14:46:45 | 显示全部楼层
本帖最后由 jefffire 于 2011-10-1 14:47 编辑
Tron 发表于 2011-10-1 14:18
关于行为云,这个我后面也会讲到,不是行为统计分析这么滞后的,另外行为分析统计更多是后台了,我这篇 ...


后台的行为统计我知道。但是问题在于客户端目前缺乏非高危行为的统计分析,也就是所谓“智能”。后台行为统计是需要量的,滞后性太高,而且最终反馈到客户端,还是要借助哈希或特征码之类的。
Tron
头像被屏蔽
 楼主| 发表于 2011-10-1 14:49:04 | 显示全部楼层
jefffire 发表于 2011-10-1 14:46
后台的行为统计我知道。但是问题在于客户端目前缺乏非高危行为的统计分析,也就是所谓“智能”。后台行 ...

不一定需要量,这点2.0的第一个新玩意能解决这个问题,主要看系统会不会注意到它(不一定是完全看量),如果注意到它,它的传播范围即使相对较小(例如每小时10次以下)也跑不了。

反馈到客户端的手段就多种多样了,另外哈希或特征码也问题不大呀?
cyk553312
发表于 2011-10-1 14:49:45 | 显示全部楼层
本帖最后由 cyk553312 于 2011-10-1 14:51 编辑

好久没有看到原创了,学习,顺便观看讨论。
另外360和金山还真是一对冤家。
LisaLan
发表于 2011-10-1 14:51:06 | 显示全部楼层
3.0神马时候能来啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-20 09:44 , Processed in 0.094330 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表