关于2011的自保

gzy_hao

在此之前，我先根据之前的测试判断Norton加载的方式（还请高人指教）

开机，启动ccSvcHst，用ccSvcHst加驱，然后用其他什么东西实现监控（不知道是什么，反正不是ccSvcHst这个进程[:26:] ）

Norton的驱动卸载就蓝屏，也不知道什么东西实现的监控，也只有开机时阻止ccSvcHst启动

而通过测试，阻止ccSvcHst启动无非两种方法（至少我现在能找到的）

加IFEO或删掉ccSvcHst

鉴于Norton的自保强大，这两项的前提都是要把ccSvcHst干掉

好了，再说说如何把ccSvcHst干掉

以前测试过，XueTr加驱干掉ccSvcHst轻而易举

再转到Symantec的角度去看

上一次在NC讨论时，Symantec的一位雇员shane_pereira这样说

All of them load a driver of some kind and the user-mode app will then communicate with the driver, instructing it to perform certain commands like "terminate a process" etc. The key to protection is to prevent such a driver from being loaded in the first place, but only if it is being loaded by a malicious process. We know the driver is being loaded by some user-mode process (XueTr.exe in this case), and if this process were deemed behaviorally malicious, it should be blocked by SONAR and the driver would not be allowed to load.

简单翻译一下

所有的这些（就是APK工具）加载一个驱动，用户模式的应用程序与驱动沟通并向它发出“结束进程”之类的命令。保护的关键在于在第一时间阻止像这样的一个被恶意进程加载的驱动。我们知道这些驱动被用户模式的应用程序加载（XueTr包括在内），而且如果这个进程被发现为恶意代码，SONAR应该会拦截它并且驱动不会被允许加载。

再梳理一下，Norton自保的关键在于ccSvcHst，而ccSvcHst的保护在于干掉ccSvcHst的驱动会不会加载

所以，对于Symantec来说，至少对于这一类的攻击来说，要防护，无非两种方法

加大SONAR的防护力度，或者是阻止一切驱动访问ccSvcHst的行为（姐夫友情提示：最后一项从技术层面上无法实现……）

如果有人还有其他方法（对于攻击方病毒制造者或是防御方Symantec），欢迎讨论

其实，对于Symantec来说，还是直接发现病毒这样主动的方法比较好

gujiutian

支持谢谢啊

zsthileo

自保不错啊！

jefffire

在此之前，我先根据之前的测试判断Norton加载的方式（还请高人指教）

开机，启动ccSvcHst，用ccSvcHst加 ...
gzy_hao 发表于 2010.8.29 12:26

那段话是瞎扯蛋。你要是能在驱动加载前就能完全预判出来是不是有害的，这是火星技术。

冲冲

最后一句话让我又想骂SSR……

jefffire

在此之前，我先根据之前的测试判断Norton加载的方式（还请高人指教）

开机，启动ccSvcHst，用ccSvcHst加 ...
gzy_hao 发表于 2010.8.29 12:26

“阻止一切驱动访问ccSvcHst的行为”
这根本从技术上是行不通的，唯一的办法就是在驱动加载之前拦截。加载后就是任人宰割了。。。

gzy_hao

回复 4楼 jefffire  的帖子


那段话只是说进程为恶意代码时，加载驱动的行为不被允许，并没说驱动为恶意代码……

现在谁也搞不懂SONAR的工作机制……

gzy_hao

回复 5楼 冲冲  的帖子


尽管骂吧……

骂完之后继续To SSR……

nickhuang

回复


那段话只是说进程为恶意代码时，加载驱动的行为不被允许，并没说驱动为恶意代码……

现在谁也 ...
gzy_hao 发表于 2010.8.29 12:59

关键是铁壳官方也不放点消息出来给大家。

gzy_hao

回复 9楼 nickhuang  的帖子


Top Secret of Symantec

Or The US Government