防入侵，防漏洞组件作用有多大？

hansyu

好少人，这个太深奥了，纯小白不懂。

病毒抗体

wjcharles 发表于 2012-6-14 20:27
针对NIS的话，0day貌似不都是ips防的。。。

http://bbs.kafan.cn/thread-1215671-1-1.html

恶意PDF文档的ShellCode在执行过程中会生成一系列的的文件如正常文档，木马程序等等，诺顿会对ShellCode所使用的API进行监控，一旦符合其规则就会禁止执行并弹出警告信息。基本上诺顿对常见的ShellCode的行为都进行了检测，没有一定的奇技淫巧ShellCode是过不了诺顿的

如果0day exploit直接进了ring0，然后利用ring0资源/代码等完成攻击操作，过的可能很大。

0day的玩法，和普通malware的玩法是完全不一样的。

jefffire

wjcharles 发表于 2012-6-14 20:27
针对NIS的话，0day貌似不都是ips防的。。。

http://bbs.kafan.cn/thread-1215671-1-1.html

这个已经看过了

jefffire

病毒抗体 发表于 2012-6-14 21:19
如果0day exploit直接进了ring0，然后利用ring0资源/代码等完成攻击操作，过的可能很大。

0day的玩法 ...

能够一次性完成的漏洞十分少见。一般都是先代码执行漏洞，然后本地提权漏洞。实际上，我认为本地提权与否对于以盈利为目的的木马团伙来说并不重要。目前流行的各种盗号，普通用户权限也能完成目的。

wjcharles

病毒抗体 发表于 2012-6-14 21:19
如果0day exploit直接进了ring0，然后利用ring0资源/代码等完成攻击操作，过的可能很大。

0day的玩法 ...

NIS这个确实有点聊胜于无，只有依据它设想的步骤的0day漏洞利用才有可能防住，你说的或者其他手段的漏洞利用在这层面上（ips及UXP）防不住
溢出直接进了ring0那基本没办法，HIPS也够呛；但如果溢出成功后，真正执行恶意行为需要注入其他进程或者有独立进程的，还有可能会触发主防
而且漏洞利用成功后所有操作都由ring0发起可能在编程测试上有点难度，即使在常见的病毒中也好像不多见

风葶云

我表示来学习

jefffire

风葶云 发表于 2012-6-15 08:09
我表示来学习

水

yc513847

其实我只是进来看看各位毒组的人员的……

尘梦幽然

wjcharles 发表于 2012-6-14 20:27 针对NIS的话，0day貌似不都是ips防的。。。 http://bbs.kafan.cn/thread-1215671-1-1.html

GEB就是IPS的核心引擎了，敬请查看英文原文。
为了修改掉那个译者加上的注二（注二的意思是说GEB是单独的0DAY、通用漏洞防护组件），我和他辩论了好几天，还请教了技术组的老师。
其他的我倒是都认同。

wjcharles

尘梦幽然 发表于 2012-6-15 13:29
GEB就是IPS的核心引擎了，敬请查看英文原文。
为了修改掉那个译者加上的注二（注二的意思是说GEB是单独的 ...

原文中没有直接提到GEB可防0day，我看他有“通用启发”的特性才加上去的，官方只说uxp用来防0day，当然以上都是指网络层