123
返回列表 发新帖
楼主: 287381906
收起左侧

[讨论] 红伞的资源占用讨论

[复制链接]
Oceanzd
发表于 2007-3-23 20:34:53 | 显示全部楼层

回复 #11 287381906 的帖子

COM+的服务都是为系统的状态和功能进行记录的(或者是传递函数),有时候系统或者软件需要这个功能进行解析,但是因为关掉了就会导致一些服务无法正常运行或者不稳定(处于内核层)

一般来说就是DLL注入,此方式是木马的常用隐藏手段,但是已经可以通过Anti-Rootkit+DLL注入查看器看到真面目(如Icesword),但是DLL注入比较简单而且技术成熟,其它的手段则应用的比较少,特别是系统本身的安全机制就加大了难度。类似雨数据内嵌就是从一段要执行的代码中插入一段函数使其改变原来的作用,这样的隐秘性更好,因为任何正常的系统文件都有可能会被这样利用(不过硬件内存本身的“不可写”保护很有效用的阻止了类似的内核执行发生)。API执行通则到了内核处理阶段,因为方法很多,所以我就不讲了。
Oceanzd
发表于 2007-3-23 20:36:05 | 显示全部楼层

回复 #17 hnhkxywl 的帖子

虚拟内存是划分的一定的硬盘空间来暂时存储数据,而且可以制定它的大小~
287381906
头像被屏蔽
 楼主| 发表于 2007-3-24 09:00:13 | 显示全部楼层
COM+的服务都是为系统的状态和功能进行记录的(或者是传递函数),有时候系统或者软件需要这个功能进行解析,但是因为关掉了就会导致一些服务无法正常运行或者不稳定(处于内核层)

一般来说就是DLL注入,此方式是木马的常用隐藏手段,但是已经可以通过Anti-Rootkit+DLL注入查看器看到真面目(如Icesword),但是DLL注入比较简单而且技术成熟,其它的手段则应用的比较少,特别是系统本身的安全机制就加大了难度。类似雨数据内嵌就是从一段要执行的代码中插入一段函数使其改变原来的作用,这样的隐秘性更好,因为任何正常的系统文件都有可能会被这样利用(不过硬件内存本身的“不可写”保护很有效用的阻止了类似的内核执行发生)。API执行通则到了内核处理阶段,因为方法很多,所以我就不讲了。


已收到,感谢海版了!! 还想问个问题就是:使用数据内嵌不会容易被特征码查到吗?是不是使用了内嵌还是要加壳呢?
孤独王子
发表于 2007-3-28 02:27:56 | 显示全部楼层
comm+不开启有什么危险呢
287381906
头像被屏蔽
 楼主| 发表于 2007-3-28 08:40:43 | 显示全部楼层
comm+不开启有什么危险呢

这样就不能安装驱动软件了……比如NVIDIA显卡就提示找不到设备……
Oceanzd
发表于 2007-3-28 09:07:14 | 显示全部楼层

回复 #23 287381906 的帖子

嵌入代码后一般只是辅助木马进行隐秘性掩盖操作,本身代码对于系统没有害处

如果是嵌入代码直接EXE文件进行非法活动的时就会加入不可逆算法,使代码无法去除,只好删除整个EXE
287381906
头像被屏蔽
 楼主| 发表于 2007-3-28 09:25:00 | 显示全部楼层
又见到你了,海版
感谢解答!!
tomriddle
发表于 2007-3-28 19:56:23 | 显示全部楼层
1G内存没必要担心吧 我512都不怕
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 16:08 , Processed in 0.089843 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表