微点与卡巴立体防御的体系比较-卡巴部分已经得到工程师确认无误

深红的雪

可能我上次没说清楚
我不是说RX虽然是R3层的要hook ssdt也不可能在r3
r3的hook 是很弱的，且hook不了底层的函数，ring0下要绕过这hook或者直接还原也是很简单，甚至在ring3也能恢复ring3的hook，所以说ring3下没有所谓的HIPS
如果主防只是停留在ring3这水面上的话，那根本就无主防可言
RX的主防的比较弱体现在它hook的函数少得可怜，很多地方没有考虑到。如RX08主防在注册表方面就没有防hive操作的能力，在AD方面也不能封住病毒进入ring0的道路，所以很容易被绕过，基本上那个主防是聊胜于无而已
另外主防也不一定只能从SSDT下手，事实上还有很多其它的方法
如果咖啡的规则也算是主防的话（应该算吧），那它就是一个例外。咖啡没有ssdt hook，因此它不怕被恢复SSDT。
其使用的是Inline Hook。由于Inline Hook在稳定性方面一般很难保证，所以咖啡只是选择hook 一些 文件操作类的Nt API，而没有hook更多或更底层的函数，这也是为稳定性考虑的，因为咖啡那个是面向企业的企业版

呵呵，扯远了，打住

[ 本帖最后由 rappar 于 2008-8-16 17:13 编辑 ]

caolizhen

呵呵，受教了
一般来说 普通的hook比较稳定实用。 inline hook 更加高级一点，一般也跟难以被发现。所以很多人比如病毒制作者都比较推崇inline hook。

polly5771

受教了.....这么多高手莅临指导啊[:27:]

这样多好。大家心平气和的讨论，非要口水战干吗？？

PS:今天已经给出2张黄牌[:26:]最近严打

syfwxmh

感谢我吧~~鹦鹉~~

polly5771

非常感谢！希望能带来更多更好的作品^_^
还有小夏，鱼,rappar..............等众高手。

力争把微点区建设成主动防御研究的中心

[ 本帖最后由 polly5771 于 2008-8-15 20:39 编辑 ]

syfwxmh

开玩笑啦~~都是DZ的何必那么客气呢~~

jasidge

LZ说的很好~~又让我懂了点

syfwxmh

咖啡之所以不用底层函数，主要是由于其兼容性。越多的底层函数就越会造成系统的不稳定，如果用的太多就很有可能造成冲突或者数据丢失。所以咖啡就用了规则去替代，但是读规则最不好的一点就是随着规则越来越多，系统也会越来越慢，而且太严格的话会影响很多软件的使用。

matthew423

支持我们国家的 东方微点，只是希望 微点 能够 吸取别人的优点，尽量避免自己的不足。
加油……微点

东海林将司

客观严谨