[神经质]shadow Defender的转储功能是否有问题？

SONGBOWEN

原帖由 spiha 于 2008-3-11 20:39 发表


很好很感谢 ... 那我就等待官方的答复了~~

一般3个工作日之内就会有答复，我就是怕我自己忘记看邮箱

SONGBOWEN

SD回复

> 主要阐述这几个问题：转储相关和启动方式
> 一、转储相关的问题
> SD提供影子模式下的右键菜单或在主程序中转储，虽然可以设置密码，但是会不
> 会有可能被恶意利用，绕过密码，从而导致SD被穿透呢？

有可能会被恶意利用，所以要保证安全，建议关闭该选项，只从SD的主界面进行转储。

> 二、启动方式
> 能否提供从boot.ini文件启动影子模式的功能呢？
> 中国有一款同类软件，名字叫PowerShadow，可以在开机时，从boot.ini的引导
> 菜单中选择进入正常模式、C盘影子模式或全盘影子模式，不知道SD的新版本
> 中，是否可以提供此功能？
> 希望得到解答，谢谢！

SD不会正式提供该功能，因为该功能会和密码控制冲突，不过下个版本可能会提供
个隐藏的选项，允许用户手工操作打开该功能（只在XP下有效）。

spiha

＝——＝ 很好 下个版本可以有个选项的话...


“有可能会被恶意利用，所以要保证安全，建议关闭该选项，只从SD的主界面进行转储。”

劳烦上面的把我所说的东西翻译下然后给对方 ...
右键如果可以直接转储那已经是绝对的不安全了 ...
我只是想问问SD对控制转储的Defender.exe有什么验证措施而已
如果没什么验证措施的话 那就代表有可能伪装或者破解Defender.exe

k600c

像SD这样灵活的转储，不配备点AD功能当保镖的话，肯定是……

SONGBOWEN

原帖由 spiha 于 2008-3-12 22:07 发表
＝——＝ 很好 下个版本可以有个选项的话...


“有可能会被恶意利用，所以要保证安全，建议关闭该选项，只从SD的主界面进行转储。”

劳烦上面的把我所说的东西翻译下然后给对方 ...
右键如果可以直接转储那已 ...

好的，我会再与SD官方联系的

PS：我翻译水平不佳，凑合来吧。。。。

SONGBOWEN

官方回复，大家大可以放心了！！！！

这个问题我也考虑到了，在1.1.0.237版本中应用程序和驱动通信
的命令是随机的，每台机器都不一样，并且驱动程序和应用程序都
进行了加密，所以恶意程序想和SD的驱动程序通信很难，不过理论
上是可以做到的，不过要花很大的精力去反向工程SD的驱动和应用
程序。

在新的版本中SD除了继续采用以前的方法外，还额外采用了另一种
保护方法，即由安装程序在安装的时候将Defender.exe进行MD5 hash，
并将hash值保存到注册表中，然后驱动在启动的时候读取该值，以
后所有和SD驱动通信的进程的hash值都必须符合注册表中记录的hash值
才行，这样恶意程序就无法和SD的驱动通信，因为其hash值不合法。

该hash值的算法非常严格，不仅记录了文件的大小，还对可执行程序
的可执行代码段进行验证，所以完全可以避免恶意程序非法和SD驱动
程序通信。

spiha

不过怎么我用C32和OD小改了一下以后仍然可以转储？

跟md5那类是不同的吗？ － － ...

嘛 既然官方都这么说了那我就放心吧~~~ ><

SONGBOWEN

注意，是“在新的版本中SD除了继续采用以前的方法外，还额外采用了另一种
保护方法，即由安装程序在安装的时候将Defender.exe进行MD5 hash……”，新版本还没出来呢……

spiha

汗 原来是未出来的新版啊 ..
嘛 放心了很多了 ... 继续用SD吧~~

SONGBOWEN

目前还没见到能利用他的转储功能穿透SD的病毒呢，所以，放心的用吧～