360安全卫士的64位HIPS已经发布

Hey

g0ug0u 发表于 2010-12-7 08:03
这个要顶，终于等到了，现在安全软件在x64下都是阉割版。

你去看看COMODO的x64，告诉我它阉割了啥？

pen

烟草药007 发表于 2010-12-8 10:18
楼主给个链接吧

官网去下载最新测试版的360安全卫士

jefffire

Hey 发表于 2010-12-8 10:32
你去看看COMODO的x64，告诉我它阉割了啥？

X64下你看看R0挂钩，和X86对比一下。。。
引用一下：
   Windows Vista 64 bit and Windows 7 64 don’t allow every driver to get into kernel memory region due to a very strict digital signature check. If the driver has not been digitally signed, Windows won’t allow it to be loaded. This first technique allowed Windows to block every kernel mode rootkit from being loaded, because malwares aren’t usually signed – at least, they shouldn’t be.
   The second technique to prevent kernel mode drivers from altering Windows kernel behavior is the Kernel Patch Protection, also known as PatchGuard. This blocks every kernel mode driver from changing sensitive areas of the Windows kernel. Prevx describes how the rootkit gets past both techniques:


For compatibility with Windows for x64-based systems, drivers must avoid the following practices
Modifying system service tables, for example, by hooking KeServiceDescriptorTable
•        
Modifying the interrupt descriptor table (IDT)
•        
Modifying the global descriptor table (GDT)
•        
Using kernel stacks that are not allocated by the kernel
•        
Patching any part of the kernel (detected only on AMD64-based systems)

Hey

回复 23楼 jefffire 的帖子

1.好好看看你引用的两段话到底是什么意思
2.我回应的是功能上的差别，请告诉我相较于COMODO x86，COMODO X64到底阉割了啥功能？

jefffire

Hey 发表于 2010-12-8 14:47
回复 23楼 jefffire 的帖子

1.好好看看你引用的两段话到底是什么意思

这两段话，很明了啊。说白了就是不论什么驱动，在X64下对内核的挂钩都有限制。众所周知，HIPS软件主要功能都是靠SSDT hook等内核挂钩技术来实现的，在X64下，由于这种限制，尤其是第二段，以及第三段列出的几点，导致很多hook不能实现，很多地方不能拦截。虽然表面上功能没有少，但防御能力却大大下降了。当然，在X64下，comodo在各类套装中实现算是不错的。

jason_jiang

没独立版就算了

Hey

回复 25楼 jefffire 的帖子

好吧，帮你免费翻译下

Windows Vista 64 bit and Windows 7 64 don’t allow every driver to get into kernel memory region due to a very strict digital signature check.
由于极为严格的数字签名检查，Windows Vista 64位及Windows 7 64位不允许每一个驱动都加载到核心内存区域。

If the driver has not been digitally signed, Windows won’t allow it to be loaded.
如果一个驱动未经数字签名，Windows不会允许其被加载。

This first technique allowed Windows to block every kernel mode rootkit from being loaded, because malwares aren’t usually signed – at least, they shouldn’t be.
这项技术使得Windows阻止每一个内核模式的rootkit加载，因为恶意软件往往并不会签名——至少，不应该给它们签名。

The second technique to prevent kernel mode drivers from altering Windows kernel behavior is the Kernel Patch Protection, also known as PatchGuard.
第二项技术是内核patch保护(Kernel Patch Protection)，也就是我们熟知的PatchGuard，它可以阻止内核模式的驱动改变Windows内核的行为。

This blocks every kernel mode driver from changing sensitive areas of the Windows kernel.
这项技术阻止内核模式的驱动改动Windows内核的敏感区域。

Prevx describes how the rootkit gets past both techniques:
(重点来了 - -,) Prevx描述了此rootkit如何绕过这两项技术的:

----- 第一段翻译结束 -----

For compatibility with Windows for x64-based systems, drivers must avoid the following practices
考虑到与64位Windows系统的兼容性，驱动应当避免下列操作：

Modifying system service tables, for example, by hooking KeServiceDescriptorTable
修改系统服务表，比如，hook KeServiceDescriptorTable
•        
Modifying the interrupt descriptor table (IDT)
修改中断描述符表(IDT)
•        
Modifying the global descriptor table (GDT)
修改全局描述符表(GDT)
•        
Using kernel stacks that are not allocated by the kernel
使用非内核分配的内核堆栈
•        
Patching any part of the kernel (detected only on AMD64-based systems)
patch内核的任何部分（仅在AMD64系统上检测到）

----- 第二段翻译结束 -----

从以上两段就能得出x64下的软件一定阉割了？
我只能得出的结论：同样的功能，在x64上实现方法和x86上实现方法可能是不一样的。

PS.英语四六级阅读题做少了吧？

jefffire

同样的功能，在x64上实现的方法和x86上实现的方法可能是不一样的。


这个理解没错，但是，有些东西是绕不过去的。不通过挂钩手段是不能实现的，或者很难实现。x64下现行各种安全软件防御力普遍下降一个档次，这也是事实。
至于Prevx描述了此rootkit如何绕过这两项技术的，这是今年八月份的TDL3的一个新技术，是个恶意技术，安全软件自然不能这么干。

Hey

回复 28楼 jefffire 的帖子

呵呵，实现的方法不一样罢了
简单的说，x64不必完全按照x86的方法来实现
退一步说，用户往往不会看到具体实现方法上的差异，用户关心的是这个功能有无，功能是否有用
再退一步说，“x64下现行各种安全软件防御力普遍下降一个档次”和“现在安全软件在x64下都是阉割版”这两句话，还是有很大差异的吧？

jefffire

Hey 发表于 2010-12-8 15:54
回复 28楼 jefffire 的帖子

呵呵，实现的方法不一样罢了

说阉割版，这个确实不准确。