AVG搞那么多进程干嘛啊？

Anqring

cepots 发表于 2016-2-8 21:25
avg的查杀率有那么糟糕吗？ 这些年我都用它啊，感觉不出来啊，至少比国产要强吧？

其实说真的，你去看评测 国产的并不差

温馨小屋

cepots 发表于 2016-2-8 19:54
你可不要乱说啊，有证据吗？ 想在系统进程里注入其他的线程，这是非常困难的事情

windows对于每个进程 ...

windows对进程没有沙箱保护，这是Mac OS X的功能，一个进程只要拥有Debug权限就可以任意操纵其他进程，包括注入，像诺顿，360都会向一些进程注入模块
诺顿是驱动化引擎把引擎加载到System进程，所以扫描时的资源占用都显示在System进程中
Windows有个类似功能叫受保护进程，他们从内核模式创建以防止注入式攻击，他只保护系统核心进程，比如Csrss.exe,Smss.exe,System等，其他普通进程是没有保护的
有条件的话可以编个程序试试，在取得管理员权限后，注入explorer和svchost都很容易，但是无法通过API打开那些系统核心进程

Anqring

nick20010117 发表于 2016-2-9 08:41
他只问了查杀好不好，没问误报哈，百度查杀还是比较高的，当然数字查杀也不错。
不过百度的误报在国内还 ...

百度好像是国外版的启发比较厉害 现在集成到国内版了

温馨小屋

cepots 发表于 2016-2-8 20:02
什么驱动啊？ 基于WDK的？

就是诺顿把引擎编写成了一个驱动，wdk只是个开发工具，基本所有驱动都是通过它开发的

nick20010117

Anqring 发表于 2016-2-9 10:01
说得好像每个人都看网络快照。

说的好

nick20010117

Anqring 发表于 2016-2-9 10:19
百度好像是国外版的启发比较厉害 现在集成到国内版了

启发真的不错，甚至比国外的很多的杀毒都要好

温馨小屋

cepots 发表于 2016-2-8 22:14
网页防护这里，我没有那个需要，对别人或许有用，但对于我来说更累赘。因为现在的网页又不是若干年前，随 ...

http://bbs.kafan.cn/thread-772629-1-1.html
又不是没有前车之鉴，网页快照也会中毒
还有关于代码注入，26楼和27楼好像讨论的不是一个东西，26楼说的是远程线程注入，27楼前半部分是说的病毒感染文件的方式之一，后半部分好像是通过直接操纵内存地址来注入，那样当然不会成功，因为有ALSR技术保护，要注入就要用API注入才行

cepots

温馨小屋 发表于 2016-2-9 10:16
windows对进程没有沙箱保护，这是Mac OS X的功能，一个进程只要拥有Debug权限就可以任意操纵其他进程，包 ...

汗，我说的沙箱只是个形容词，又不是说windows真的集成一个Sandbox。

windows的安全机制挺多的，咋到你眼里就好像裸体一样，windows有uac、edp，还有aslr

我以前做过游戏修改器，通过api的确可以访问游戏进程的内存，并且修改，注入代码都可以

但系统进程我没有试过，但觉得不应该会那么轻易，不让windows的安全性就太地了

cepots

温馨小屋 发表于 2016-2-9 10:32
http://bbs.kafan.cn/thread-772629-1-1.html
又不是没有前车之鉴，网页快照也会中毒
还有关于代码注入 ...

注入我没太深入了解过，想来无非就是那么几种嘛，dll注入，子线程输入，主线程注入，hook注入这些

温馨小屋

cepots 发表于 2016-2-9 10:37
汗，我说的沙箱只是个形容词，又不是说windows真的集成一个Sandbox。

windows的安全机制挺多的，咋到 ...

可是不论从哪个语境来看还是从句子成分来看他都不像形容词，一般“沙箱”是用来比喻进程与线程关系的，用在这里并不合适
代码注入应该是在管理员权限下进行的，标准账户什么也干不了，所以与UAC无关，还有那是DEP吧，EDP是香水，DEP防止被标记为不可执行的代码执行，只有在漏洞攻击是可能用到，普通注入并没有关系，ASLR是防止缓冲区溢出的，也没有关系，普通注入并不需要碰这些保护技术
对于系统进程可以用procexp试试，核心进程无法打开，但是可以操作一些非核心的系统进程