红豆组合是否存在潜在冲突

SONGLEI

原帖由 sysfc6 于 2009-6-12 12:26 发表
我被雷倒了，微点竟然没有钩子

微点区也有人发过贴这样说，有人回贴说微点是INLINE HOOK。
INLINE HOOK比SSDT HOOK更底层，但容易不稳定，比如中网S3，微点也有少数人反应有蓝屏
一些本来经典的组合后来被实验证明有漏的，比如SB+DW就有1+1<1的情况发生过
红豆组合究竟怎样？恐怕不是一两句能够说清
但理论上存在拦截失效问题

song-ci

借这个帖子问一下技术派的前辈，请问目前有没有实验出AV+FW+HIPS没有这类冲突的组合呢？

十分想了解

SONGLEI

原帖由 guohouzuo 于 2009-6-6 16:43 发表
是啊，看起来，comodo和红伞都hook了几个相同的函数，但是一个函数不能hook给两个路径吧~

不过实际使用的时候，好像没有多少反映说他俩冲突的。。

实际使用中反应的大都是蓝屏冲突之类的表象冲突，LZ说的底层冲突
实际使用中有多少人碰到病毒了？还要刚好碰到让这个组合拦截失效的病毒，比中彩票还难（如果不天天下载病毒测试的话）
有些问题的发现是高手们经常测试病毒时偶然发现的，本来也不是为了测试冲突

[ 本帖最后由 SONGLEI 于 2009-6-13 12:46 编辑 ]

song-ci

楼上分析的也有道理，貌似除了套装出现这类状况少点意外，不同公司的单款安软的配合总会有点小摩擦吧？

SONGLEI

原帖由 song-ci 于 2009-6-13 12:40 发表
借这个帖子问一下技术派的前辈，请问目前有没有实验出AV+FW+HIPS没有这类冲突的组合呢？

十分想了解

这得多大的测试量才能大致测出来。即便有人天天测试病毒，也大都是测病毒的具体行为和怎样加强HIPS规则来拦截
有些底层冲突问题都是测病毒过程中偶然发现的，不是特地去测冲突的

SONGLEI

本来我一直认为AV+HIPS+墙的安全性是大于套装的，因为即便KIS2009，牛人要想专门针对它做免杀还是做的到的，但要过一个组合实在太难，因为组合本身不确定谁组合谁，况且纯HIPS几乎不能过。
但现在说不清了
不知在卡饭的哪里看过这样一句话（大意）：现在的状况果然上了我几年前的预测，谁都想控制底层，大家都在SSDT层尽量多的HOOK，结果是HOOK得一踏糊涂，最终倒霉的仍然是用户。

Error

本來紅豆組合是為了安全性,但是紅傘覆蓋了大量的hook這樣毛豆的監控動作能力可能就下降?反而安全性變低了?

SONGLEI

我宁愿要一款纯杀软，纯得不做任何HOOK的高查杀率杀软，本来不带主防的红伞、轻巧、快速、高得变态的查杀率、低资源占用是我的最爱。宁愿杀软没有什么自保能力，因为本来就不能单纯依靠杀软保护系统。用HIPS保护杀软就得了。
但是真的中了一句话：大家都抢底层控制权，结果是SSDT层被HOOK得一塌糊涂。
难道得转变思想用套装

Error

我試了下裝毛豆的AV模塊,然後看了下SSDT挂鈎數沒變,估計是毛豆的AV模塊在SSDT無論啓動沒啓動都會挂鈎..誰那裏有虛擬機和3.0無av模塊的cfp,看看天生無av模塊的cfp會hook哪些?和cis一樣不?

如果紅傘hook的是毛豆的av模塊反正不開覆蓋上去應該沒關係

jony327

发这些无用的议论 有这个时间自己实验一下 现在的情况是：没有发现冲突