致那些鄙视国内杀毒软件技术差的人

显示全部楼层 · 发表于 2014-8-22 20:47:57

要我说，所有的程序都应该打包成单文件，等运行的时候再释放，同时覆盖同名文件。

显示全部楼层 · 发表于 2014-8-22 20:50:19

洛天依发表于 2014-8-22 18:41
白加黑有没有专业的名称？

如果“白加黑”指的是白 EXE + 黑 DLL 这种模式的话，有。

叫做“DLL 预加载攻击” (DLL Pre-loading Attack)，还有其他一些名称，如“DLL 劫持” (DLL Hijacking)、“DLL 搜索顺序劫持” (DLL Search-order Hijacking) 等等，尽管它们有细微的差别。甚至还有一些该方式的变体，如 DLL Side-loading（不知道中文）。

微软员工在 2008 的博文中就提到过此问题：http://blogs.msdn.com/b/david_le ... oading-attacks.aspx

此后，Fireeye 和 Mandiant（现已被 Fireeye 收购）也有相关研究，如：http://www.fireeye.com/resources/pdfs/fireeye-dll-sideloading.pdf

显示全部楼层 · 发表于 2014-8-22 21:06:40

难得一见技术贴，后排围观了

显示全部楼层 · 发表于 2014-8-22 21:17:28

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2014-8-22 21:18:27

本帖最后由 jefffire 于 2014-8-22 21:25 编辑

hx1997 发表于 2014-8-22 20:50
如果“白加黑”指的是白 EXE + 黑 DLL 这种模式的话，有。

叫做“DLL 预加载攻击” (DLL Pre-loadin ...

DLL Hijacking，DLL Search-order Hijacking和白加黑还是不太一样的。

看了FireEye的报告，最后除了呼吁一下程序员做好安全编程，也没什么其他方法。

显示全部楼层 · 发表于 2014-8-22 21:20:52

我觉得这种事情实在没有必要一遍一遍的说。
“疑人不用、用人不疑”，如果非要孤芳自赏，但也请“己所不欲勿施于人”。

显示全部楼层 · 发表于 2014-8-22 21:43:59

rsin 发表于 2014-8-22 11:18
原理太简单了就是不知道为什么国外软件都不行，去年杀毒网站只有江民杀，其他全过

微点肯定能杀

显示全部楼层 · 发表于 2014-8-22 21:44:48

a445441 发表于 2014-8-22 11:24
360的主防和国外的主防不差多少，主要是360的人才比较多

我还是觉得微点主防最牛B

显示全部楼层 · 发表于 2014-8-22 21:47:09

玩2妓不如玩3妓发表于 2014-8-22 14:42
360那种是单步主防的多步这么简单还百度百科维基百科

确实..微点才算得上是真正的主防

显示全部楼层 · 发表于 2014-8-22 21:56:18

本帖最后由 hx1997 于 2014-8-22 21:59 编辑

jefffire 发表于 2014-8-22 21:18
DLL Hijacking，DLL Search-order Hijacking和白加黑还是不太一样的。

看了FireEye的报告，最后除了 ...

嗯，的确在细节上（劫持的位置）有差别，不过本质都是一样的，利用 Windows 的 DLL 搜索顺序和白程序不验证加载的 DLL。

默认搜索顺序：
1. 程序所在目录
2. 系统目录
3. 16 位系统目录
4. Windows 目录
5. 当前目录
6. PATH 环境变量所列出的目录

白加黑劫持的是 1、5，DLL 劫持是 2、3、4，至于 6 不知道有没有用到的。（顺序这么后就不叫劫持了吧=

// 微软想兼容旧程序，也没法改进 DLL 搜索顺序，所以其实挺无奈的。

iqinqi 头像被屏蔽	发表于 2014-8-22 21:17:28 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
iqinqi 头像被屏蔽
	回复举报

[讨论] 致那些鄙视国内杀毒软件技术差的人