楼主: cepots
收起左侧

[讨论] AVG搞那么多进程干嘛啊?

  [复制链接]
Anqring
发表于 2016-2-9 10:02:55 | 显示全部楼层
cepots 发表于 2016-2-8 21:25
avg的查杀率有那么糟糕吗? 这些年我都用它啊,感觉不出来啊,至少比国产要强吧?

其实说真的,你去看评测 国产的并不差
温馨小屋
头像被屏蔽
发表于 2016-2-9 10:16:19 | 显示全部楼层
cepots 发表于 2016-2-8 19:54
你可不要乱说啊,有证据吗? 想在系统进程里注入其他的线程,这是非常困难的事情

windows对于每个进程 ...

windows对进程没有沙箱保护,这是Mac OS X的功能,一个进程只要拥有Debug权限就可以任意操纵其他进程,包括注入,像诺顿,360都会向一些进程注入模块
诺顿是驱动化引擎把引擎加载到System进程,所以扫描时的资源占用都显示在System进程中
Windows有个类似功能叫受保护进程,他们从内核模式创建以防止注入式攻击,他只保护系统核心进程,比如Csrss.exe,Smss.exe,System等,其他普通进程是没有保护的
有条件的话可以编个程序试试,在取得管理员权限后,注入explorer和svchost都很容易,但是无法通过API打开那些系统核心进程

评分

参与人数 1人气 +1 收起 理由
nick20010117 + 1 专业!

查看全部评分

Anqring
发表于 2016-2-9 10:19:24 | 显示全部楼层
nick20010117 发表于 2016-2-9 08:41
他只问了查杀好不好,没问误报哈,百度查杀还是比较高的,当然数字查杀也不错。
不过百度的误报在国内还 ...

百度好像是国外版的启发比较厉害 现在集成到国内版了
温馨小屋
头像被屏蔽
发表于 2016-2-9 10:20:00 | 显示全部楼层
cepots 发表于 2016-2-8 20:02
什么驱动啊? 基于WDK的?

就是诺顿把引擎编写成了一个驱动,wdk只是个开发工具,基本所有驱动都是通过它开发的
nick20010117
发表于 2016-2-9 10:24:05 | 显示全部楼层
Anqring 发表于 2016-2-9 10:01
说得好像每个人都看网络快照。

说的好
nick20010117
发表于 2016-2-9 10:25:55 | 显示全部楼层
Anqring 发表于 2016-2-9 10:19
百度好像是国外版的启发比较厉害 现在集成到国内版了

启发真的不错,甚至比国外的很多的杀毒都要好
温馨小屋
头像被屏蔽
发表于 2016-2-9 10:32:25 | 显示全部楼层
cepots 发表于 2016-2-8 22:14
网页防护这里,我没有那个需要,对别人或许有用,但对于我来说更累赘。因为现在的网页又不是若干年前,随 ...

http://bbs.kafan.cn/thread-772629-1-1.html
又不是没有前车之鉴,网页快照也会中毒
还有关于代码注入,26楼和27楼好像讨论的不是一个东西,26楼说的是远程线程注入,27楼前半部分是说的病毒感染文件的方式之一,后半部分好像是通过直接操纵内存地址来注入,那样当然不会成功,因为有ALSR技术保护,要注入就要用API注入才行

评分

参与人数 1人气 +1 收起 理由
aboringman + 1 感谢解答: )

查看全部评分

cepots
 楼主| 发表于 2016-2-9 10:37:34 | 显示全部楼层
温馨小屋 发表于 2016-2-9 10:16
windows对进程没有沙箱保护,这是Mac OS X的功能,一个进程只要拥有Debug权限就可以任意操纵其他进程,包 ...

汗,我说的沙箱只是个形容词,又不是说windows真的集成一个Sandbox。

windows的安全机制挺多的,咋到你眼里就好像裸体一样,windows有uac、edp,还有aslr

我以前做过游戏修改器,通过api的确可以访问游戏进程的内存,并且修改,注入代码都可以

但系统进程我没有试过,但觉得不应该会那么轻易,不让windows的安全性就太地了
cepots
 楼主| 发表于 2016-2-9 10:40:13 | 显示全部楼层
温馨小屋 发表于 2016-2-9 10:32
http://bbs.kafan.cn/thread-772629-1-1.html
又不是没有前车之鉴,网页快照也会中毒
还有关于代码注入 ...

注入我没太深入了解过,想来无非就是那么几种嘛,dll注入,子线程输入,主线程注入,hook注入这些
温馨小屋
头像被屏蔽
发表于 2016-2-9 10:50:51 | 显示全部楼层
cepots 发表于 2016-2-9 10:37
汗,我说的沙箱只是个形容词,又不是说windows真的集成一个Sandbox。

windows的安全机制挺多的,咋到 ...

可是不论从哪个语境来看还是从句子成分来看他都不像形容词,一般“沙箱”是用来比喻进程与线程关系的,用在这里并不合适
代码注入应该是在管理员权限下进行的,标准账户什么也干不了,所以与UAC无关,还有那是DEP吧,EDP是香水,DEP防止被标记为不可执行的代码执行,只有在漏洞攻击是可能用到,普通注入并没有关系,ASLR是防止缓冲区溢出的,也没有关系,普通注入并不需要碰这些保护技术
对于系统进程可以用procexp试试,核心进程无法打开,但是可以操作一些非核心的系统进程
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 22:36 , Processed in 0.102947 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表