驳“ 对国内杀软的技术分析”

31997

gxrsprite 发表于 2013-7-24 11:36
怎么互补?防御R0比防御R3起码难10倍，你还想互补？人家端着机关枪到你面前了，你拿菜刀怎么挡？ 你想弥补 ...

可以找到绕过主防的方法（比如黑dll注入白exe，这种方法出来时几乎没杀软可以拦，当然现在不样了。）然后成功过掉主防加驱，如果杀软没有R0层面的防御，病毒就能成功关闭杀软。若果杀软有R0层面的防御，病毒就无法关闭杀软，病毒在以后的恶意行为是有可能被杀软发现的。我说的R0层面的防御并不是与完全长时间与病毒做对抗，而是在必要的时候保护一下杀软自身。你说现在世界上有哪一款杀软没有自我保护？所以自保在现在看来虽然有缺点，但还是必要的，也许在以后可能会有新的技术能够保证主防万无一失，也许再那时候杀软会去掉自保，但是现在的技术还达不到能让杀软的主防强大到万无一失吧~

gxrsprite

31997 发表于 2013-7-24 12:09
可以找到绕过主防的方法（比如黑dll注入白exe，这种方法出来时几乎没杀软可以拦，当然现在不样了。）然后 ...

进了R0就不可能万无一失，他都放行加驱了，他甚至不需要干掉你也一样进行所有木马活动。

31997

gxrsprite 发表于 2013-7-24 12:47
进了R0就不可能万无一失，他都放行加驱了，他甚至不需要干掉你也一样进行所有木马活动。

进了R0是不可能万无一失，但是比起只有R3风险要小得多，可以把中毒的风险尽量的减小。即使病毒获取控制权，杀软也可以进行驱动夺权。

113113

以后能不能少一点理直气壮，多一点虚心聆听

gxrsprite

31997 发表于 2013-7-24 13:24
进了R0是不可能万无一失，但是比起只有R3风险要小得多，可以把中毒的风险尽量的减小。即使病毒获取控制权 ...

到哦了R0几乎没有还手余地，风险何来小，要风险小就防住R3

31997

gxrsprite 发表于 2013-7-24 20:19
到哦了R0几乎没有还手余地，风险何来小，要风险小就防住R3

R3不是全能的，主防规则不可能没有漏洞，加上R0，中的的风险自然要比单纯的风险小的多

396805331

31997 发表于 2013-7-20 16:08
自保只是杀软为了保全自己与病毒对抗的一种手段，一个只有自保没有监控和主防的杀软是没有意义的，因为它 ...

你这里的理解我觉得是有问题的。病毒作者和安全公司的技术是相互促进的动态过程。如果一个病毒尝试去关闭某个杀毒软件说明这个杀毒软件是被病毒作者针对处理过的，也就是说在某些阶段，杀毒软件是可以被关闭的，否则做这种针对性处理毫无意义（或者病毒作者想碰碰运气？）杀软自保变得可以防护必然是因为杀软针对这个问题进行了处理。但是提升自保花费的时间和精力用于修补主防规则不好吗？（也不能一概而论，看哪个方式性价比高了）
可以达到避免在r0对抗，而成功防护新病毒的效果啊。

31997

396805331 发表于 2013-7-25 01:27
你这里的理解我觉得是有问题的。病毒作者和安全公司的技术是相互促进的动态过程。如果一个病毒尝试去关闭 ...

不过现在大多的病毒作者都是急功近利，希望自己的病毒能够趁着还没有入库进入其他人的电脑。这样写出的病毒也很粗糙，很少有人能够突破杀软的防御的。很少有人像你说的那样细细的去琢磨杀软留下的每一个漏洞。即使高手的病毒突破了Ring3，想去突破技术难度更高的Ring0也是十分困难的。因为有些杀软的驱动是Ring0，而EXE程序是在Ring3上，Ring0拦截到消息传给ring3 的EXE程序，Ring3在传回驱动SYS,做相应的处理，这样的方式是很难突破的。即使病毒没被Ring3 主防杀掉，进入Ring0照样能被发现。

treeli26

写的不错!!!!

老马儿子

10楼有真相