本菜鸟对微点自主开发的扫描引擎的原理的推测

ALEXBLAIR

不过杀软的APIHOOK方式不见得是固定的吧，那样容易被破，如果真是固定的，那多杀软对控制权的抢夺的现象应该就不存在了，大家彼此认识嘛，都是一家

要知道是什么杀软难就难在这吧？

举个例子，我的虚拟机里的APIHOOK是这样的

1. 
   
2. API HOOK
   
3. RVA  错误： LoadLibraryA (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xEDB39B25)
   
4. RVA  错误： LoadLibraryExA (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xEDB39D67)
   
5. RVA  错误： LoadLibraryExW (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xEDB39F0B)
   
6. RVA  错误： LoadLibraryW (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xEDB39C49)
   
7. RVA  错误： GetProcAddress (危险等级: 高,  被下面模块所HOOK: Dest Addr: 0xEDB39E8F)
   

复制代码

0xEDB39E8F 这样的东西就是所谓的地址，杀毒软件之间争抢的是APIHOOK的权利，而不是哪个地址。
所以，权利只有一个人拥有，但是地址却不一定要一样。

另外，知道是什么杀软的方法很多啊，这个方法弄不好就被干掉了，好像不太好。

如果知道是什么杀软在工作，如何卸掉杀软的APIHOOK呢？

可以参考安焦的原创文章中，有一篇关于绕过ICESWORD的文章，哪里有提到细节。

另外你说的进程名可以过杀软？是什么原理呢？利用杀软不监控的API？

据我所知，如果单纯的列进程列表，安全软件是不会管的，可以当作一个检测的方法，
例如安装咖啡的电脑，那就一定有FESS为的关键词的进程名字，
安装卡巴的电脑，那就有以AVP或者KAV/KAH的为关键词的进程名称。
能够判断是什么软件在监控，那就十分容易了。
每个软件都有自己的不足
例如
卡巴5和8.5之前的咖啡没有自我保护
卡巴6 3XX 有溢出漏洞
等等，可以使用网络上已经公布的方法针对性的绕过安全软件，这样看似复杂，但是成功概率高了很多，就好像专杀一样，只不过专杀安全软件罢了。
===================================
以上言论如有不足之处，恳请各位高手指正。

ly250094040

高手啊~~~~~~


学习了~~~


世界真危险~~

ly250094040

感觉杀软太危险了

有次听说全球1/3的电脑已经被控制。。。

在黑客的世界里

菜鸟还是比较吃亏啊~~

ALEXBLAIR

其实大可不必这样
任何一个拥有升级能力的成熟杀毒软件都能把危险降到最低。
所谓的黑客并不会拿个人电脑玩，这是违反黑客条例的。
虽然，有很多人觉得黑客很牛或者黑客很厉害，但是那都不是真正意义上的黑客。
麻烦的人总是有的，
那些喜欢放鸽子的人只不过学会了用别人的工具，如果能够自己寻找漏洞并提出可行补救方案的人，那才是牛x的。
要寻找真正的牛x黑客，一点都不难，微软的每一个安全公告后面都有详细的联系地址，不懂问他们，提高绝对比看文章要快的多。
既然，国内的黑客定义是：一群自以为是的用他人工具作坏事的人
那么，防止他们的破坏也很简单
1。打补丁
2。升级安全软件
3。建立数据追查服务器（个人用户不推荐，费电又费钱；企业用户必须必备。）
4。不定期重装和备份（对于愿意省事又安全的人来说再好不过了）
5。使用3d监控(推荐 犀牛)
6。双硬盘双系统（不同性质的系统mac os/liunx/windows三个相互组合就可以。）

ly250094040

那些是大众演说时的台词吧

真正的东西必须是很少人掌握的

不然世界会乱

那些措施的作用对真正的黑客来说等于不存在。。。

黑客可不是都那么有道德的啊

ALEXBLAIR

防御总是不如进攻来的方便，但是国内那些自称黑客的闹事者，其实手法大多也不过是停留在网上的那些网络教程中。
      然而，那些教程的公布，就意味着哪个漏洞已经众人皆知了，通过简单的系统补丁的方法，可以抵御大部分的无聊攻击。
      正如你所说的那样，黑客可不是都那么有道德的啊，但是，不道德的家伙能够遇到你的电脑，然后能够花一番心思去入侵一台没有商业价值的个人电脑，那样的几率十分的低。
      就算遇到了，也不是件坏事情。
      微点的东西不是没有绕过的办法，但对于个人用户的安全要求足够了。虽然不能面面俱到，却可以告诉用户大量的信息，而不像ssm那样仿佛为了测试鼠标点击极限而不断的报告。这就是微点的优势（至少我这么认为的）。
      对于遇到真正的黑客，其实大可不必担心，他们都在计算怎么样的入侵能够提高自己，或者赚到钱（在商业活动中。）
       如果你的电脑能够令他头痛，而且睡不好觉，说不定它就会有兴趣。挑战自我才是他们的亮点。
       我不是黑客的枪手，但是真正的黑客在中国几乎绝迹，当然，国外环境也不好。这和媒体的错误舆论有关。
       总的来说，没必要搞得危机四伏的，windows自带的防火墙足够抵御大部分的攻击，没必要用什么顶级的东西。
      微点的成功就在于，只给你有用的信息，而不是什么都报，这就是效率的提升。（当然，如果真的有兴趣了解病毒的每一步的人，可以用系统自带的debug程序调试，绝对比任何的3d软件都牛都详细，而且不占资源，只要你能有耐性看每一行代码。）

[ 本帖最后由 ALEXBLAIR 于 2007-3-20 02:26 编辑 ]

Oceanzd

微点没有规则设定……

要是用户能够自己设定危险系数的话就厉害了……

包括Rootkit的加强和注册表Rootkit的预防，特别是Ring0的底层控制并不是每个杀软都做到的

Oceanzd

Debug程序我看着头晕，那个几千条代码呀～～

还是FD，RD直接封锁＋Sandbox的防护看着舒服……

Oceanzd

有一个程序就是利用了Explorer自调用的非正常函数反调用＋API Hook把大部分的AD全部骗过去了，只有Tiny目前过不了……

ALEXBLAIR

ring0的监控和干涉其实有很大的困难
windows 9x时代的时候，用户程序可以访问ring0,ring3结果就是不断的蓝屏
win 2k-xp的时候，非法操作没有98/me那么猖狂了，但是还是有错误的出现。
windows vista的时候，管理的更严了，基本上驱动必须有证书，ring0/内核代码更是无法接触。
在对第三方软件的严格要求下，安全软件能够做到的事情也就越来越少了。
对于微点，如果能够访问ring0，那就只能通过类似于漏洞的方法来达到了，除了铁壳有微软的内部api之外，其他的厂商还是在探寻中。
但是，用漏洞来达到保护，既没有稳定的保证，又不是官方的方法，的确不能被一个成熟的安全软件所广泛采用


至于微点的规则定义，估计以后的版本会出来的吧，这是迟早的事情吧，（我觉得）