用HIPS的或者EQ的来

sxingbai

名称不代表什么
QQ 微点都可以被加入病毒
假如有人替换其中的底层操作
又该据何判断

又来个综合判断
你综合什么？
真知道什么叫含糊其辞 强词夺理了

aoyang

原帖由 solcroft 于 2007-5-10 22:25 发表

那就只能说你只会单独看“写隐藏分区”这个动作了，不会综合性地评价一个程序
所以说了，只说你自己未必分得清就好，没必要来意味着大家都分不清

厉害，厉害，你可以狡辩。你怎么综合的来判断
一个访问磁盘底层和写隐藏分区的未知程序，你怎么根据你的经验来判断呢？有这样危险动作的程序，我不相信你还会放行一部分行为，你难道不是全部阻止了？我不得不佩服你是一个高手。
对于有些连HIPS都无法拦截的行为，第2天你的HIPS升级以后又可以拦截了，到时候你又怎么根据你的经验来判断
你继续狡辩，我不理你了[:27:]

jlennon

调用ring0级函数写程序，能PSS掉N多HIPS

jlennon

HIPS不会有这样的升级，只有更新版本。

solcroft

原帖由 EQ2 于 2007-5-11 00:04 发表
不过从偶目前所知道的，很多反病毒厂商的分析师只是看代码的。。典型的就是卡巴。。。。。卡巴在回信里面写的很清楚了。。没有恶意代码

检查行为还不简单，用ProcMon便搞定，会HIPS的人都未必会看代码
你自己用decompiler随便检查你系统上的哪个程序看看，就算一般15k多的程序都好多代码了，更何况是一些数MB的程序

The EQs

hips对于偶的最大作用是判断杀软是否是鞭尸。。其余就

aoyang

注意我是说的未知，不是已知程序
一个已知程序，比如QQ，他要进行磁盘底层访问，你可以阻止他，也可以放行，因为你毕竟知道这个程序没害。
但是一个未知的程序，既要写隐藏分区又要进行磁盘底层访问，我想你看见也会很怕吧，你还敢放行一部分然后再来个综合的评价。如果你真要说敢，我也拿你没办法，嘴是你的，你想怎样说就怎样说，没人能改变的了。

aoyang

原帖由 jlennon 于 2007-5-10 22:39 发表
HIPS不会有这样的升级，只有更新版本。

口误，更新版本也可以理解为升级。
我说升级的意思就是更换了版本。

jlennon

光辉你偷梁换柱

sxingbai

原帖由 solcroft 于 2007-5-10 22:40 发表

检查行为还不简单，用ProcMon便搞定，会HIPS的人都未必会看代码
你自己用decompiler随便检查你系统上的哪个程序看看，就算一般15k多的程序都好多代码了，更何况是一些数MB的程序

你的综合判断就是看代码，那没得说，你牛
但hips没给你代码看
当然你还可以用杀软综合判断