楼主: cutemole
收起左侧

[金山] K+ 2.0 揭秘 (一):进程行为基因分析系统

  [复制链接]
hndksss
发表于 2011-10-14 20:29:34 | 显示全部楼层
郑伟用户 发表于 2011-10-14 18:48
你是说360的下载保镖吗?

你们能不能别那么敏感
怎么一说金山就是360,一说360就是金山。。
说实话,看的是效果。。等待验证就知道了不是吗
fanorange
发表于 2011-10-14 20:43:50 来自手机 | 显示全部楼层
一有宣传,对方就来搞基……砖家又不多,不知道的就被对方蒙蔽,两边只好一起搞基……基情四射……无聊诶!
fanorange
发表于 2011-10-14 20:47:02 来自手机 | 显示全部楼层
hndksss 发表于 2011-10-14 20:29
你们能不能别那么敏感
怎么一说金山就是360,一说360就是金山。。
说实话,看的是效果。。等待验 ...

只看宣传,金山2.0就是有一点加强,那个下载保镖可就纯吵概念了,哪个过去没有?所以你说概念,就一定还想到360了……
hndksss
发表于 2011-10-14 20:50:35 | 显示全部楼层
fanorange 发表于 2011-10-14 20:47
只看宣传,金山2.0就是有一点加强,那个下载保镖可就纯吵概念了,哪个过去没有?所以你说概念,就一定还想 ...

不一定是概念把。
起码原来下载前地址检测只在安全浏览器里面有。分析下载连接这个哪里是概念了
dl123100
发表于 2011-10-14 21:01:37 | 显示全部楼层
行文不是很流畅,好不容易读完了。
这里提到了进程行为基因分析,K+希望通过收集跨进程的一些行为,作为标记、定位风险源头及关联的依据,就目前的K+来说是比较难完成的。
1、文中强调的比较多的是通过脚本程序、注入、常规方式启动进程等方式进行“行为基因传递”,而对通过IPC(Inter-Process Communication,进程间通信)方式实现的传递除了创建服务没怎么涉及(当然WMI等方式启动进程本身用到了IPC)。事实上,K+直接针对IPC相关的防御也只限于服务操作、EndTask、ExitWindowsEx(关机、注销等)等少数。对TDSS的打印机驱动注入这样的IPC行为只是通过拦截注册表做了防御,提示中并没有体现发起进程。不在拦截IPC上下功夫,就无法达到收集记录常见“行为基因传递”的效果。相比之下,不提360的产品,国外的DefenseWall、sandboxie在此处下了很多功夫。
2、文中举了进程注入的例子,而实际上,毒霸2012 SP1对已知进程注入方式拦截得并不全面,可以导致很多遗漏。另外,实际K+环境下允许注入关键进程后,已经应该很难保证后续毒霸保护体系的完整性。提到“毒霸监控每个进程危险行为”,实际K+驱动拦截点还很不全面。
3、K+驱动通过hook、注册系统回调函数、挂接系统设备进行监控,在处理函数中会记录发起进程的一些信息,作为进程行为传递收集分析的一部分。实际上,相关驱动kisknl多次出现因记录管理相关进程信息函数bug而导致的对应记录数据的损坏,导致系统崩溃。至今这些处理函数内部的频繁查找、记录,仍然可以轻易产生竞争现象(Race Condition),导致系统崩溃。

评分

参与人数 10人气 +10 收起 理由
微点卫士 + 1 拜服啊
zjkzjy + 1 感谢解答: )
leisong + 1 中立方大牛的点评最接近真实
LSCMH + 1 每次乃屁股后都有一长串人气。^_^
wan_a + 1 版区有你更精彩: )

查看全部评分

qwe12301
发表于 2011-10-14 21:08:33 | 显示全部楼层
dl123100 发表于 2011-10-14 21:01
行文不是很流畅,好不容易读完了。
这里提到了进程行为基因分析,K+希望通过收集跨进程的一些行为,作为标 ...

了解了一些情况
xiaofeizei
头像被屏蔽
发表于 2011-10-14 21:08:34 | 显示全部楼层
55楼才是看点
xp-AntiSpy
发表于 2011-10-14 21:20:39 | 显示全部楼层
maomao110 发表于 2011-10-14 19:15
原来那上面的两个人  是双方杀软的官方代表

你才知道啊
cyk553312
发表于 2011-10-14 21:32:32 | 显示全部楼层
jefffire 发表于 2011-10-14 18:03
管你什么东西。还是先把卡饭样本全部拦截再说其他吧。

全部拦截太难了吧
不求拦截全部样本,只求不要动不动就被脚本之类的过了。
wrb116
发表于 2011-10-14 21:53:47 | 显示全部楼层
看了55楼才开始学到的点东西……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 19:16 , Processed in 0.107516 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表