讨论一下最近比较火的正常exe加载病毒dll

peter08

maomaojk 发表于 2012-3-8 21:45
他们讨论的是主防放过dll，不是病毒监控放过dll

先有特征码后有主防,特征码都还没做好的谈什么主防咯.
我又偏激了.嘿嘿嘿.

donsky829

有ND的FW，基本没什么问题

忧郁的迷糊酱

有一定的道理，但不会成为主流的解决方案，一个最简单的原因就把防火墙给否了——易用性。

如果不告诉你这个DLL是有害的，那么，让你去做判断，估计没有几个人会做出正确判断的，看看这个坛子里面那些询问贴就知道了，更何况那些普通用户呢。还有个问题就是那些正常DLL也会弹窗询问，如此下来你就会判断疲劳，进而就烦躁了，这时候夹杂个恶意DLL进来，估计你稍微看一下——哦，文件名貌似正常，还是个可信程序加载的，真烦人，准了。

陌上~烟雨遥

闻仲 发表于 2012-3-8 13:57
可以理解为  单独EXE和DLL都不会对电脑照成危害，两个加起来就像毒药一样？

你这个类似于两种本来无毒的化学制剂，相遇后发生化学反应，生成一种新的有毒的化学物质。

一个笨鸟

白EXE加dll是杀软掐不死的，掐一个木马作者就再换一个

88865ff

这个东西貌似HIPS都无能为力吧！

yjwfdc

88865ff 发表于 2012-3-9 12:58
这个东西貌似HIPS都无能为力吧！

hips不怕这些.
我以前提出过的云hips也不怕这些.

z13667152750

yjwfdc 发表于 2012-3-9 14:03
hips不怕这些.
我以前提出过的云hips也不怕这些.

在此之前有哪个hips拦截过dll加载的?

虽然hips仍然可以拦截exe的行为,但是dll加载漏洞的特点就是利用白名单让hips放过他的行为

可以真正根除的方法也许只能依靠包含dll的白名单机制  或者  利用最小权限原则设定规则(但仍然会有漏网)

yjwfdc

z13667152750 发表于 2012-3-9 14:08
在此之前有哪个hips拦截过dll加载的?

虽然hips仍然可以拦截exe的行为,但是dll加载漏洞的特点就是利用白 ...

hips可以拦,只是做规则的人最多只拦系统dll劫持,很少防其它软件dll劫持.

hips只需拦exe行为就可以了.你可以测试一下以前的规则,都可以防住这类病毒.

如果要普通用户使用hips,几年前就提到过的云hips已经有想到过防这些了.

z13667152750

yjwfdc 发表于 2012-3-9 14:16
hips可以拦,只是做规则的人最多只拦系统dll劫持,很少防其它软件dll劫持.

hips只需拦exe行为就可以了.你 ...

可是hips因为这些exe是白文件直接放行了

所以我提到需要以最小权限来设定规则,但是即使这样也会自动放行一些危险行为

拦截dll可是非常麻烦的事,应用软件不是系统文件大多是固定的,而是经常升级改变,你想升级一次就误报一次吗?

这也是云hips的大问题,规则太严的话,白名单很可能无法跟上