FAQ(转自flowercode)

evilrabbit

原文链接
http://hi.baidu.com/flowercode/b ... d8c2fa431694d9.html

FAQ（最后更新：2008-10-02）
2007-04-26 22:23
（注意：此文内容陈旧，最后一次较大修改是在 2007-06-06。大部分内容仍然正确。会偶尔更新。）

（此文为爱好反病毒技术的初学者编写，不适合其它层次的人阅读。）

Q:IceSword 是万能的吗？
A:不论是从哲学角度还是原理角度这都是错的。也永远别指望有一款万能软件。
现在国外的许多 RootKit 出厂的最低标准就是在 IceSword 下完全隐藏，国内的流氓们也争相对 IceSword 进行破坏，所以……pjf 要加油呀～

Q:Unlocker 可以用来对付驱动级的恶意程序吗？
A:曾经可以。但 Unlocker 毕竟不是设计为专门针对 RootKit 的程序，所以挂一些 Hook 即可让其完全失效。

Q:KillBox、PowerRMV 的文件删除能力比 IceSword 还要强吗？
A:错误。它们的原理都是 MoveFileEx，在 MoveFileEx 之前对进程等做了一些处理，仅此而已。
而 IceSword 所做的远比这个多。所以如果一个文件用 IceSword 都无法删除的话，就可以不必拿这些软件出来了。

Q:XDelBox 的文件删除能力比目前所有的软件都要强吗？
A:是的。因为它在 DOS 这个纯净的世界里删除文件。在这里，没有流氓驱动，没有监视进程，没有 Hook，没有……
但流氓们仍可以阻止 XDelBox 的启动，或者阻止其释放引导文件。

Q:映像劫持很可怕吗？
A:真正的映像劫持比较可怕。
但目前普遍应用的是在映像文件执行选项里指定调试器，也不知是谁把这种方法也称为映像劫持。
对付这种小把戏只需把可执行文件的文件名改改即可。

Q:HIPS 可以防住一切吗？
A:和第一个问题一样有哲学错误。多数 HIPS 的一个明显弱点是只能防住应用程序层面的东西，对于驱动搞破坏就无能为力了。
所以当 HIPS 提示你某程序要加载驱动的时候，一定要仔细检查后再决定是否放行。

Q:扩展名为 Sys 的一定是驱动文件吗？
A:还有许多类似的问题，例如“扩展名为 DLL 的一定是动态链接库吗？”。
回答是否定的。具体是什么文件要看文件头。
如果你把一个扩展名为 EXE 的改为 Sys，通过 CreateProcess 一样可以直接执行它。但如果用 ShellExecute 则不行。

Q:安全模式很安全吗？
A:曾经是这样（怀念中……）。但实际上安全模式要加载哪些驱动完全由注册表中的内容决定，而只要有管理员权限就可以随便篡改这些内容。
AppInit_DLLs 键值指定的动态链接库也可以在安全模式下由系统自动注入至所有进程。
还有无数种在安全模式下自动启动病毒程序的方式。所以安全模式并不安全。

Q:未经许可就转载别人的文章且不注明原作者的人很可恶吗？
A:是的。这种人应该严重 BS。

Q:沙盒（SandBox）可以确保安全吗？
A:沙盒是基于API Hook 的，且多会拦截驱动加载操作。如果沙盒的设计考虑的比较周到的话，基本上可以超过HIPS的安全性。但绝对安全是不可能的。所以如果要测试病毒的话，还是虚拟机比较让人放心。
我知道的最安全的方法是在 Linux 上安装虚拟机运行 Windows 来测试病毒。

Q:SREng 的日志可以发现所有的恶意程序吗？
A:显然不是这样。但可以发现多数常见恶意程序。一些技术较好的 RootKit 可以轻松躲过 SREng 的扫描。
虽说现在 SREng 在不断加强检测能力，但毕竟还是受到 Ring3 的限制。

Q:据说“熊猫烧香”可以轻而易举地关闭 IceSword，这是真的吗？
A:这是媒体炒作出来的。该蠕虫只能不断地调用 PostMessage 向 IceSword 窗口发送 WM_CLOSE 消息，使 IceSword 不断询问用户是否要关闭。
而它查找 IceSword 的方法则是枚举所有顶级窗口的子窗口，查找“pjf(ustc)”，也就是左下角的那个版权信息。这些都是没有任何技术含量的做法。

Q:灰鸽子很强吗？为什么很多杀毒软件都无法发现它的隐藏的东西？
A:灰鸽子很弱。用了几个 DLL 注入所有进程挂了一些API来隐藏一些东西。
但这种技术对于杀毒软件的驱动程序来说完全无效。至于杀毒软件无法发现其隐藏的东西，估计是杀毒软件公司比较懒吧……
实际上根本不需要驱动程序就可以发现它隐藏的东西。

Q:ntsd 是一个系统内置的很强的结束进程的工具吗？
A:错。ntsd 只是一个系统内置的用户态调试器。至于它能结束进程则是因为 Windows 规定一个进程在被调试后或者调试器终止后必须终止。
这固然可以拿来对付任何顽固进程，但关键是调试一个进程首先需要打开它，而通常在这一步就会被带进程保护的程序拦截，所以其实没什么效果。（不信的话你可以拿 IceSword 测试。）

Q:RootKit 是木马/病毒吗？
A:不是。RootKit 只是一种工具，用于隐藏或保护其它程序（尤其是恶意程序）。
例如 FUTo 就是一个典型的 RootKit，本身不具有危害性，但可以用 DKOM 技术隐藏其它进程。

现在有一些木马/病毒（灰鸽子不包括在内）只能说是使用了部分 RootKit 技术，但不能算是 RootKit。

- 2008-10-02 -

Q:驱动是什么？
A:设备驱动程序，一种有和操作系统同等的权限的程序。可以用来控制设备，也可以做别的事情。

Q:Ring 3 和 Ring 0 是什么？
A:中央处理器的权限管理机制。用于保护系统不受非法指令的影响。Ring 3 就是用户模式，有最小的权限，Ring 0 就是内核模式，有最大的权限。也有 Ring 1，Ring 2 等，不过 Windows 并没有使用。

Q:既然可以限制非法指令，那为什么不直接屏蔽“病毒指令”？
A:厂商不会专门为病毒设计指令。病毒所发出的指令也是正常指令，处理器并不能判断哪个是病毒发出的指令。

Q:为什么 UAC 需要用户确认？恶意程序难道不能自己点“继续”吗？
A:这就是 UAC 的特点之一。UAC 的窗口显示在安全桌面上，系统自动屏蔽一般程序的按键或鼠标动作，以及窗口消息。

Q:为什么 MD5 这类算法很重要？
A:因为这类算法保证了只有非常小的碰撞几率。这可以被用于证明一个文件没有被改动过，或是比较两个文件是否相同等。

Q:SSDT 是什么？
A:是一个指针表，存放了系统中许多重要函数的地址。

Q:为什么即使是挂钩了 SSDT 上所有的函数的 HIPS 也会出漏洞？
A:因为安全性不在于挂钩了多少函数，还在于对这些函数是怎么处理的。有的 HIPS 在判断时疏忽，就会导致该拦截的没有拦截。有的设计者认为一些函数无关紧要，就会直接放过不处理。或者为了用户的方便，有的 HIPS 就会自行判断一些项目。另外，SSDT Shadow 也需要注意。

Q:SSDT Shadow 是什么？
A:是另一个指针表，存放了系统中许多重要函数的地址。

Q:XSS 是什么？
A:跨站脚本执行。服务器端对参数过滤不严格，导致攻击者提交的恶意脚本被直接返回给受害者的浏览器并得以执行。

本文会不断更新……

evilrabbit

从网上找的，原文链接找不到。

dl123100

http://hi.baidu.com/flowercode/b ... d8c2fa431694d9.html
好多都删了 这个倒没删

evilrabbit

更正链接了。

tawny2008

许多 RootKit 出厂的最低标准就是在 IceSword 下完全隐藏

难，IceSword还内置有fileReg

lvhaoran123

可惜目前冰刃不更新了，只能靠辅助区来撑起反病毒的大旗了。

wo1234

谢谢楼主分享

choso

Q:未经许可就转载别人的文章且不注明原作者的人很可恶吗？
A:是的。这种人应该严重 BS。

这句话藏的挺深呀。。

promised

这种普及FAQ似乎不宜深究

Q:驱动是什么？
A:设备驱动程序，一种有和操作系统同等的权限的程序。可以用来控制设备，也可以做别的事情。

User-Mode Driver与操作系统权限同等？

evilrabbit

回复 8# choso


    怪我，尽情bs我把。快下班了，没看完。就直接转在论坛上，做个记录，方便下次下次看。