楼主: B100D1E55
收起左侧

[技术原创] 嗅探Microsoft的病毒扫描引擎

  [复制链接]
jmekoda1
发表于 2017-2-13 14:44:45 | 显示全部楼层
卡巴 加密可回滚

还有卡巴HIPS可以设定受保护的资料
防勒索无压力
jmekoda1
发表于 2017-2-13 14:46:08 | 显示全部楼层
微软别作沙盘,
不然一堆0-DAY等著过
无压力

爆发时,伤害力更强
jmekoda1
发表于 2017-2-13 14:52:15 | 显示全部楼层
灭灭之痕 发表于 2017-2-12 23:07
所以其实这是一个难题:理论上自动沙盒和白名单可以解决所有的恶意程序,但是付出的代价就是所有的文件都 ...

看我上上楼的回覆

卡巴可以设置
白名单黑名单
也有传统特微杀毒

所以卡巴是正解
灭灭之痕
发表于 2017-2-13 17:55:50 | 显示全部楼层
jmekoda1 发表于 2017-2-13 14:52
看我上上楼的回覆

卡巴可以设置

卡巴之所以牛逼,就是综合能力强,类似BD等其他公司其实想法都差不多,没有本质上的差异(虽然实现上各有差别),只能说卡巴现在提供的方案比较完善而已(即使这样也不是100%,没有技术能达到理想情况)。而且说到底,不论白名单黑名单,核心就是名单,可以说是一种“广义”的“特征码”而已,安软厂商的发展现在看来,很难逃出这个圈子。
所以我不是很赞同“卡巴是正解”,“正解”谁都有,只是大家都做不到正解的水平,只能去接近,而卡巴是相对来说接近的。卡巴算是比较早上主防的,这也是为什么卡巴的主防一直是大家比较推崇的。在特征码扫描和云技术大家很难真正分出高下,启发式检索也陷入技术瓶颈的时候,就看能否通过别的技术更好地弥补已有的不足,而卡巴正是在主防这个方向经验较为老道的一家,所以才有了其出色的综合表现。当然之前也吃了不少亏,“卡吧死机”的外号曾经那么流传也不是没有原因的,只是现在技术成熟后,大家开始渐渐改观。
polariswong
发表于 2017-2-13 18:11:50 | 显示全部楼层
月影天心 发表于 2017-2-11 11:30
对于不同的使用者来说,卡巴和WD孰强孰弱?
所以,WD是否够用,很大程度取决于个人,我还是那 ...

同意,微软win7以上的,windows defender足够。
ShirahimeKanata
发表于 2017-2-13 20:09:28 | 显示全部楼层
jmekoda1 发表于 2017-2-13 14:42
看一下主防测试病毒

过360  毛豆 沙盘轻松无压力

由微软开发沙盘,沙盘作为系统组件的一部分,是程序执行的方式,漏沙就相当于Windows有漏洞了

Android每个程序都运行在独立的容器里,与Linux系统进程隔离
ShirahimeKanata
发表于 2017-2-13 20:10:41 | 显示全部楼层
灭灭之痕 发表于 2017-2-13 09:24
印象中沙盘里面的程序由于受限运行效率并不高(这个认识可能有错),而且你这个其实有点接近HIPS+模式预 ...

沙盘相当于HIPS+欺骗+重定向
性能和HIPS一样,和虚拟机天差地别
灭灭之痕
发表于 2017-2-13 22:47:08 | 显示全部楼层
ShirahimeKanata 发表于 2017-2-13 20:10
沙盘相当于HIPS+欺骗+重定向
性能和HIPS一样,和虚拟机天差地别

我记得沙盘不全是你说的这种模式吧?现在沙盘都成了那样的(个人很早以前用过sandboxie,现在基本没有用过)?
每一种新的威胁都会带来新的应对措施,每一种新的应对措施都会被研究出新的破解方式,所以一种方案是不够的,必须得完善和改进,安软厂家更新安软必须要同时照顾到安全性和易用性的综合,防不住不行,防住了卡成狗也不行,为了平衡二者,结果就是出现了可乘之机。
破解沙盘,我个人能想到三种方案,一种是窃取,我记得沙盘对付木马这种窃取信息的东西没有什么法子(这个印象比较古老,可能有错);第二是冒充,在可能会对系统关键位置进行操作的程序或安装包中嵌入相应的代码(或者用这种形式进行窃取),比如被修改的驱动甚至被修改的沙盘安装程序,让用户难以取舍(类似有些不怀好意的应用市场偷偷在别人的apk里面加上广告类代码);第三种是利用已经被控制的僵尸机进行欺骗(比如我控制了一个僵尸机,后台操纵该机的QQ发出恶意程序,并利用朋友关系请求接受的用户彻底执行);其实还有第四种,就是沙盘类软件本身是否有漏洞可钻,如果存在漏洞可能会成为重点攻击对象(当然这个概率很小)。而且沙盘的一个大问题还是白名单:能否及时更新你的白名单让更多正常的程序保证运行顺畅。只要和名单扯上关系,这个系统就必须得不断更新更新。而且我一直觉得白名单收集比黑名单更难一些。而且个人认为本质上来说,沙盘最大的好处是“不会让系统被破坏”,但是网络安全的范畴远远比这个大,否则杀软防什么勒索?只要系统不坏都删了多好?杀软也不必杀木马了,只要系统不会坏就行……
我用HIPS也可以做到很安全,我把系统程序和一两个常用软件加入白名单,其他全部阻止,你看我的电脑是不是也相当安全了(恶意程序连运行的机会都不给),但是这样的电脑没有人用得舒服。但是我一放开,安全性就不好保证了。
ShirahimeKanata
发表于 2017-2-13 23:33:52 | 显示全部楼层
本帖最后由 ShirahimeKanata 于 2017-2-13 23:52 编辑
灭灭之痕 发表于 2017-2-13 22:47
我记得沙盘不全是你说的这种模式吧?现在沙盘都成了那样的(个人很早以前用过sandboxie,现在基本没有用 ...


我印象中沙盘并没有用什么虚拟化技术,因此没有性能问题,仅仅是隔离程序而已

比如QQ,它所有相关的程序和DLL都放到一个执行容器里面,每个执行容器互相隔离,对真实系统操作需要申请

这个申请应当没有像HIPS那么复杂,需要比较简单、广泛,就像安卓的权限控制没几项

[X]获取最高权限 (加载驱动,加载全局钩子,修改系统文件,等等比较危险的全部算到这一个)

[X]读写注册表
[X]读取容器外的文件
[X]写入容器外的文件
[X]执行容器外的程序
[√]开机启动
[√]连接网络
........


在excinfo中注明需要申请的权限,并且由用户可以开关,根本无法调用未申请权限的相关API

这个比HIPS好的是,HIPS需要有程序行为才能看到弹窗,这个需要开发者事先申请权限

假如这个QQ
是个勒索,不能读写容器外的文件,拦住
是个盗窃,不能读写容器外的文件,拦住



比如一个PDF阅读器
[X]获取最高权限 (加载驱动,加载全局钩子,修改系统文件,等等比较危险的全部算到这一个)

[X]读写注册表
[√]读取容器外的文件
[X]写入容器外的文件
[X]执行容器外的程序
[X]开机启动
[X]连接网络
........

这样除了看文档你还能干啥?
ShirahimeKanata
发表于 2017-2-13 23:45:16 | 显示全部楼层
灭灭之痕 发表于 2017-2-13 22:47
我记得沙盘不全是你说的这种模式吧?现在沙盘都成了那样的(个人很早以前用过sandboxie,现在基本没有用 ...

第一种窃取,这个系统组件不能完全代替杀软,安卓不是也有杀软么,但是安卓病毒似乎没有那么严重的感觉
写到这里我突然想到安卓有没有文件勒索?安卓锁屏还要申请设备管理器的锁屏权限呢

第二种,冒充,数字签名可解,目前也是用数字签名解决冒充的
第三种,这是社会工程学吧?
第四种,漏洞,浏览器、操作系统都有漏洞,而且浏览器有漏洞的话也是穿透浏览器沙盒病毒任意执行

浏览器也是,没有漏洞就安全,有漏洞就玩完
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:44 , Processed in 0.086006 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表