一万小时定律之两万五千小时(截至于2009年)的超级大神MJ0011

gwsbhqt

本文转自MJ写于2009年的百度空间［MJ0011的内核驱动研究所内核技术］
标题：关于1万小时定律，兼谈最近的MD事件
时间：2009-11-03 21:26
地址：http://hi.baidu.com/mj0011/item/8a48b4f7867f9549932af2f0
原文：
今天去ADVDBG找一个很老的资料，无意中发现了Raymond的一篇文章：《也谈1万小时定律 》http://advdbg.org/blogs/advdbg_system/articles/3204.aspx很有感触，也算了一下，接触程序、逆向、底层也有6年之久了，每天花费的时间，差不多在10~12个小时，那么取个平均数，11*365(节假日不休）*6=24090，二万小时多一点。前一万小时，在学校，在和我的电子设备TEAM奔波于祖国南端的时间里，基本花费在了反汇编、汇编，和硬件打交道的日子上，这部分功夫本博的读者是看不到了。后一万小时，在祖国的首都，则开始和Windows开始挂钩，逆向，内核，安全，等等。诸位网友，只要是智商不是太差，谁下到了这个功夫，就能达到和我一样的水平，都是正常人类，没什么区别。世上无难事，巴拉巴拉巴拉，虽然很俗，但确实有道理。反之看最近的MD事件，最初是在公司某事件熬夜时，无聊中下载了MD,CIS等软件，本意是想学习一下，看到MD的Probe处理后，便想起了去年曾和某些人意淫过的ProbeBypass技术，于是实践了一下，既然实践成功后不免发出来分享一下。可是后来的事情有些让我出乎意料，卡饭上MD区的网友们反映超过我的想象，SANDWORM也迅速补上了这个漏洞，于是起了争胜之心，接下来连着五次破掉了升级后的MD。其实，挖掘这些攻击方法对我来说确实很简单，在内核攻击防御这块做熟了，看一眼IDA自然知道目标程序哪里没处理好。只是这样会带来一些不好的影响，因为很多时候可能不需要多少的技术水平，不需要对这些保护做分析，直接照抄或者修改网上一些现成的方法、手段，也可以突破安全软件保护，由于这样可以轻易地获得战胜安全软件的虚假的满足，一些新入门的小孩可能就以此为荣，沉浸到对保护突破的快感，而不是技术追求的渴望上去了，这很明显是错误的。我的本意只是共享ProbeBypass这个精妙的技巧，而不是要攻破某某。构建一个完备、考虑用户感受和兼容性的保护系统，远远比突破它的技术要难得多，尤其是在拥有大用户量基数的产品上。以微软这样的庞然大物，高手如云，也要在接到报告很久后，才能修补漏洞，不是因为不知道怎么修补，而是他们要考虑的问题远比漏洞攻击和挖掘者多得多。在保证用户体验，兼容性和稳定性的前提下，增强安全防护的能力，这才是高深的技术。

gwsbhqt

相比之下，这些攻击方法的挖掘，尤其是非建立在对攻击系统分析的基础上的挖掘（其实那样已不叫挖掘，叫做抄袭或盲人摸象吧 呵呵）， 显然根本没有多少技术含量。不过此次MD事件，据某人说也具有了一些正面的影响，那就是让很多原本不了解这方面道理的卡饭的网友，了解了HIPS的防护不是绝对安全的，了解了HIPS的保护其实并不见得比常规的带防御能力的安全软件强，为什么平时看起来HIPS很坚固，但专业人员却能很轻易地突破，了解了怎么样的设计考虑才是面向大多数用户的。让他们对什么是真正优秀的安全防护软件有一个正确的标准。如果说这些目的能达到，并且这些影响能随着卡饭的网友向外传播，那么最近这两天，我还算没有白练输入法：）

yege0201

最后一句怎么觉得MJ那么的萌

gwsbhqt

yege0201 发表于 2013-11-22 19:47
最后一句怎么觉得MJ那么的萌

我觉得最后那一句很心酸...
MJ不辞辛苦和我们极其详细极为专业地为我们卡饭饭友解答科普，几乎每次解答科普都是上千字上千字地打，从来没偷过懒，我们饭友问什么他基本都会很详细的回答...如果不是惹怒他，他也非常尊重我等小白...
可是，为什么有些人总是尾随着他，不停的讽刺打击他呢？
MJ很久没来卡饭了，怪想念他的...

0dayKiller

还是经常来看看的嘛

米途

0dayKiller 发表于 2013-11-22 21:01
还是经常来看看的嘛

你太不配合了

gwsbhqt

0dayKiller 发表于 2013-11-22 21:01
还是经常来看看的嘛

问个问题可以吗？
就是我想在r3下用批处理(或c＋＋也行)创建一个名字带有路径保留字(/\*？<>|>)文件(或文件夹)，不知道可不可以，命令行该怎么写？

还有，我打算写个小工具，用于免疫autorun.inf，我想达到的程度是在r3下无法删除这个免疫文件夹，该怎么做？谢谢了！谢谢！


我发现现在可查的文件夹免疫方法可以创建就有对应的方法可以删除，比如什么畸形什么设备名什么ntfs权限什么系统属性都是有办法逆操作删除的，我寻找了一个多星期了，还是没有找到可创建在r3下非底层磁盘读写不可删的方法，求指导了！
@0dayKiller

0dayKiller

gwsbhqt 发表于 2013-11-22 21:29
问个问题可以吗？
就是我想在r3下用批处理(或c＋＋也行)创建一个名字带有路径保留字(/\*？|>)文件(或文 ...

1.这个好像可以把，不知道怎么搞，试试应该可以了。

2.应该没有不可逆向的，主要看逆向的难度了吧，就算ring0、底层磁盘读写也可逆呀。

peter08

0dayKiller 发表于 2013-11-22 21:01
还是经常来看看的嘛

帖子的亮点是这一句了。

kfz24

我只知道楼主对我有仇，什么半桶水，天天玩游戏，装B，优越感什么的。莫名奇妙了，要是360的人这么说我也就算了。
毕竟那个嘛。楼主你这么激动干嘛。。
哈哈，我天天玩游戏楼主你是怎么知道的呢？我跟楼主说了吗？
这个很值得研究。。。。
再说楼主发这贴也没什么意思，因为楼主根本看不懂人家大牛这文章什么意思。