似乎发现SONAR 2的工作原理（一部分）

gzy_hao

拜此贴提的问题，发现了SONAR 2的工作原理（一部分）
地址：http://bbs.kafan.cn/thread-648676-1-1.html

切入正题
好的，我们先为下文做一点铺垫
Q：病毒如何入侵我们的系统？（主要是Windows系统）
A：使用特权（或者通过漏洞），绕过安全保护措施，或利用缓冲区溢出，突破安全保护措施（缓冲区溢出有DEP保护，只不过默认情况下只保护系统关键进程）
反正都要跳过安全保护措施⋯⋯

正在用无UAC的Windows的人可能察觉不出来，不过那些开着UAC的Windows用户，或者用过Mac、Linux这类系统的用户，都能发现，你在对系统目录、其他用户的目录操作，或者有时使用程序时，会告诉你，什么什么东西需要特权（Windows管它叫管理员，Unix和Linux叫它Root），需要您输密码云云～～
这就是防止病毒使用特权绕过安全保护措施的防护措施

有点儿小跑⋯⋯

毕竟还有漏洞可以利用
于是乎，SONAR 2联合高级的IPS（可用于程序保护），只要发现有东西利用漏洞，立即干掉（这应该是不管3721的）
对于提升特权（针对与未开或没有UAC的用户，或运行病毒时，习惯性地把提升特权对话框里的“是”点上了），不信任的程序一旦有一些可疑动作，也干掉
缓冲区溢出，应该是有针对性地保护，毕竟缓冲区是可以被保护到不被溢出的

所以说，我们经常可以看到，病毒运行后没做什么动作，就被SONAR 2干掉了，因为病毒用漏洞了⋯⋯

P.S.:此SONAR 2的工作原理是我猜的

葱葱.Com

猜得蛮有道理的……
不过LZ是Mac……

azhuangleia

这个有点靠谱，不顾我觉得没有那么简单，很感谢楼主给我们分享经验！

gzy_hao

回复 2# 快得像飞一样


因为Unix和Linux对提升特权这个事特别重视，所以我也特别重视，猜出来的⋯⋯

冲冲

记得我的Linux设的密码曾经是十九位，结果可想而知

gzy_hao

回复 5# 冲冲
Root的还是自己用户的？

冲冲

回复 6# gzy_hao


记不清了，当时还不太懂，糊里糊涂的装、糊里糊涂的用，只记得输了很多次密码

PS：后来糊里糊涂的卸了……

gzy_hao

回复 7# 冲冲

安的是Ubuntu？Fedora？还是其他衍生版？

一般安装前输的是Root密码，后面安装完成后配置向导输的是个人密码
在Ubuntu下，安装前就让你输用户密码，Root密码没有⋯⋯

冲冲

回复 8# gzy_hao

貌似是Ubuntu

冲冲

不管怎么说，利用漏洞也是可疑行为，铁壳只说SONAR是靠行为，但也没错