★ 虚拟内存，我们防了吗？

jack_i5

原帖由 kenns2000 于 2008-1-2 13:45 发表


你对COMODO的要求也是否太过严格了.
第一,它的主要功能还只是一个防火墙.
第二,就算加上了HIPS的功能,它也只是一个防外和防内的墙.

注意,是防,也就是主要用于防御的,它不是主动攻击的工具.它只能保证在安装 ...

--------------------------------------------
楼上兄弟，并不是我对COMODO的要求如何高。我觉得，对于防护技术体系本身而言，无论是COMODO,TINY,还是EQ,都应该在我们制定的一种更加趋于完美的规则下，尽量做到完美。

样本区不是老有被病毒绕过HIPS的实例吗？

正因为我自己也搞不明白windows在使用虚拟内存时的详细细节，再加上自己曾经遇到过在虚拟内存中查出病毒的经历，所以出于某种担心，才把这个想法写出来，好让技术好的兄弟们来一起商讨一下。如果说从技术层面最后经过论证，我的担心是多于的，那么皆大欢喜，大家都受益，无论是用EQ的还是用毛豆的。但是，如果我的假设或者担心是成立的，的确会让木马或者病毒有可乘之机，那么，我们的防护体系是不是就目前来讲还不够完善呢？是不是该改进呢？


还是那句话，也许此时某些病毒的制造者，也正在和我们一起，在卡饭，研究如何使用HIPS呢。只不过他们研究的是我们不曾想到的规则...

[ 本帖最后由 jack_i5 于 2008-1-2 14:47 编辑 ]

eubyo

如果报虚拟内存文件有病毒，很可能是误报

sszhw

应该还是内存里的问题

zoes

COmodo即使是安全的培训模式下，对异常的操作也提示。
当安装完成CPF后，默认就是这种模式，注意它的提示信息，有病毒也能发现。

1x2l

防虚拟内存没有必要吧，如果电脑重启的话虚拟内存就被清空了，那么病毒就必须要考虑创建病毒实体以备下次开机的时候运行，而且病毒进驻内存HIPS都是有监控的

飞天

COMODO要求客户机在安装的时候就要干净，这一点无论是安装COMODO，还HIPS、杀软都很重要，加上严厉的规则，也许是确保你的电脑无问题。

至于虚拟内存的防范，现阶段，我看还不是十分重要。只要能防住内存就可以了。

wayaya

报虚拟内存有病毒，楼主能不能把提示贴出来？

虚拟内存就是一个文件，难道里面还暗藏玄机不成？

kenns2000

原帖由 jack_i5 于 2008-1-2 14:44 发表



--------------------------------------------
楼上兄弟，并不是我对COMODO的要求如何高。我觉得，对于防护技术体系本身而言，无论是COMODO,TINY,还是EQ,都应该在我们制定的一种更加趋于完美的规则下，尽量做 ...

想法是很不错.
其实我也有同样的想法. 找一款可以解决问题的软件.

但是这个是很难的.毕竟HIPS软件想办法要清除病毒.
病毒也在想办法干掉防毒软件.
AV终结者大家应该知道吧(也许是这个木马)
这个木马刚出来的时候,我就碰到过,一个客户天天下电影,中了这个毒,只要是任何防毒软件,KIS也不例外,都可以干掉.
哪怕在IE里查"杀毒"这两个字,IE也会被强行关掉.

杀毒软件也是软件,也会有漏洞.
杀毒软件有多强壮,病毒就会有多强壮.

病毒有多脆弱,杀毒软件就会有多脆弱,大家是在同一个平台上的软件.

如果有一天,出了一款 基于驱动的木马,哪才是灾难呢.

其实对于我而言,一般的木马,基本上手动就可以搞定.
这都是在不同的时期和木马做战积累的经验.
杀马有时也是一种乐趣.

jack_i5

很高兴能有这么多的兄弟来参与这个话题的讨论．
这两天为了弄清楚这个问题，又在网上查了一些资料，如下：

1、虚拟内存是物理内存的补充，当物理内存不足时，内核会调用虚拟内存
2、不是所有的程序运行时都需要虚拟内存的支持。但也有一些软件或者游戏，在系统没有设置虚拟内存的情况下，会报错
3、XP或者其他WINDOWS的组策略中有这样一条：关机清空虚拟内存！为什么？仅仅是虚拟内存中的碎片问题吗？
4、在最新的VISTA中，微软加强了清空虚拟内存的速度。这全都因为不论XP还是2003，清空的速度都会严重影响关机速度。用过的人一定深有体会！
5、楼上有兄弟说最恐怖的就是驱动级的木马出现，其实，已经有了。
6、2006年，出现过一款病毒，它可以调整系统的虚拟内存大小到20M左右，使得机器变态的慢，最后死机！
7、虚拟内存不象内存，断电后资料丢失。它就是一个文件，存在硬盘上的，所以断电后不会丢失的。变化的只是随着机器的运转而不断动态更新的内容罢了。
8、几乎现在所有的HIPS软件，都会阻挡直接内存访问的程序吧？为什么？因为危险！既然直接访问物理内存是危险的，那么可不可以假设一下，有一种“程序”专门直接访问虚拟内存呢？将自己藏身于其中，来感染不断进进出出于虚拟内存中的其他用户文件呢？

记得以前有一个病毒，没办法直接干掉杀软的进程（也许技术还不够火候），这哥们想出一个什么损招？它干脆把自己先挂在一个系统进程上，监视用户的关机命令，一旦用户开始关机动作，先延时关机，然后就等待杀软进程的退出，等杀软退出了，好么，这家伙才露出本来面目！。。。汗~~~~

罗嗦了一大堆，也许都是废话，保不齐哪位大虾来，一句话告诉大伙我的想法是多余的，那更好，大伙看看片，听听歌，安心睡觉，多好！可是，如果真有哪个孙子，这会儿正苦心研究如何藏身于虚拟内存中，那...

还是欢迎大家继续拍

[ 本帖最后由 jack_i5 于 2008-1-4 01:11 编辑 ]

kenns2000

个人认为,
进入虚拟内存的唯一途径,可能就是从物理内存了.

因为虚拟内存不是第一天出来的,从Windows 3.X开始,就已经有这个了.
这个文件"pagefile.sys" 是由系统进程独占的,大小为 实际内存大小的 125%+左右.
你说的第3、第4点，应该是没有什么特别的。有人不喜欢这个文件点空间（特别是双系统的时候）。
毕竟，全球99%的人都是这样的。
第6点正Easy，没有什么很特别的难度，看看你注册表里的
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
这个地方你就应该明白。

你说的第7点是正确的，正常情况下，这个文件是存在的。
但是，这个文件不同于一般的数据文件，它是内存的一种延续，它的使用格式也是有别于其它的数据文件。
它不可以被执行，包括里面的数据。要执行的话，先得由系统装载至物理内存才可以被执行。
你可能会担心，其它的程序会修改这个文件，植入病毒。
这是有可能的，但是，M$也不至于这么弱智，直接从这个文件里加载数据
（我试过将双系统的虚拟内存文件共用一个，就算不同的系统，共用一个也会相互不影响，说明系统在启动时，并不是从这里面加载数据的）。
一般来说，是程序先是加载到内存里，在不用的时候，再才放入虚拟内存里（不用的时候由系统放入，或是程序自己将自己强行放入），
只有有了这两步，才有从虚拟内存载入物理内存的行为。

前面已经说过，虚拟内存是物理内存的延伸，它并不是独立存在的，它是被系统进程管理的，一个程序也许可以
强行进入虚拟内存（进入后，也就只有休眠了），但是要想再进入物理内存，就只有靠系统了。

担心虚拟内存，有点。。。。。。。

[ 本帖最后由 kenns2000 于 2008-1-4 10:07 编辑 ]