楼主: rsin
收起左侧

[讨论] 致那些鄙视国内杀毒软件技术差的人

  [复制链接]
hez2010
发表于 2014-8-22 20:47:57 | 显示全部楼层
要我说,所有的程序都应该打包成单文件,等运行的时候再释放,同时覆盖同名文件。
hx1997
发表于 2014-8-22 20:50:19 | 显示全部楼层
洛天依 发表于 2014-8-22 18:41
白加黑有没有专业的名称?


如果“白加黑”指的是白 EXE + 黑 DLL 这种模式的话,有。

叫做“DLL 预加载攻击” (DLL Pre-loading Attack),还有其他一些名称,如“DLL 劫持” (DLL Hijacking)、“DLL 搜索顺序劫持” (DLL Search-order Hijacking) 等等,尽管它们有细微的差别。甚至还有一些该方式的变体,如 DLL Side-loading(不知道中文)。

微软员工在 2008 的博文中就提到过此问题:http://blogs.msdn.com/b/david_le ... oading-attacks.aspx

此后,Fireeye 和 Mandiant(现已被 Fireeye 收购)也有相关研究,如:http://www.fireeye.com/resources/pdfs/fireeye-dll-sideloading.pdf
xiaogujian
发表于 2014-8-22 21:06:40 | 显示全部楼层
难得一见技术贴,后排围观了
iqinqi
头像被屏蔽
发表于 2014-8-22 21:17:28 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
jefffire
头像被屏蔽
发表于 2014-8-22 21:18:27 | 显示全部楼层
本帖最后由 jefffire 于 2014-8-22 21:25 编辑
hx1997 发表于 2014-8-22 20:50
如果“白加黑”指的是白 EXE + 黑 DLL 这种模式的话,有。

叫做“DLL 预加载攻击” (DLL Pre-loadin ...


DLL Hijacking,DLL Search-order Hijacking和白加黑还是不太一样的。

看了FireEye的报告,最后除了呼吁一下程序员做好安全编程,也没什么其他方法。
zandalong
头像被屏蔽
发表于 2014-8-22 21:20:52 | 显示全部楼层
我觉得这种事情实在没有必要一遍一遍的说。
“疑人不用、用人不疑”,如果非要孤芳自赏,但也请“己所不欲勿施于人”。
herofw
发表于 2014-8-22 21:43:59 | 显示全部楼层
rsin 发表于 2014-8-22 11:18
原理太简单了就是不知道为什么国外软件都不行,去年杀毒网站只有江民杀,其他全过

微点肯定能杀
herofw
发表于 2014-8-22 21:44:48 | 显示全部楼层
a445441 发表于 2014-8-22 11:24
360的主防和国外的主防不差多少,主要是360的人才比较多

我还是觉得微点主防最牛B
herofw
发表于 2014-8-22 21:47:09 | 显示全部楼层
玩2妓不如玩3妓 发表于 2014-8-22 14:42
360那种是单步   主防的多步  这么简单还百度百科 维基百科

确实..微点才算得上是真正的主防
hx1997
发表于 2014-8-22 21:56:18 | 显示全部楼层
本帖最后由 hx1997 于 2014-8-22 21:59 编辑
jefffire 发表于 2014-8-22 21:18
DLL Hijacking,DLL Search-order Hijacking和白加黑还是不太一样的。

看了FireEye的报告,最后除了 ...


嗯,的确在细节上(劫持的位置)有差别,不过本质都是一样的,利用 Windows 的 DLL 搜索顺序和白程序不验证加载的 DLL。

默认搜索顺序:
1. 程序所在目录
2. 系统目录
3. 16 位系统目录
4. Windows 目录
5. 当前目录
6. PATH 环境变量所列出的目录

白加黑劫持的是 1、5,DLL 劫持是 2、3、4,至于 6 不知道有没有用到的。(顺序这么后就不叫劫持了吧=

// 微软想兼容旧程序,也没法改进 DLL 搜索顺序,所以其实挺无奈的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-30 01:48 , Processed in 0.090796 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表