查看: 5049|回复: 7
收起左侧

[分享] 四谈小红伞进程保护问题,哈哈

[复制链接]
周杰伦
发表于 2007-6-20 15:19:22 | 显示全部楼层 |阅读模式
转载红伞中国论坛晓月
   sbstom (叫我“电电”) 再次提醒关于小红伞调用dll文件路径问题http://www.avira.org.cn/bbs/viewthread.php?tid=4884

     微软调用dll路径的方法的确是带来了不少的麻烦,这个dll调用路径规则从98se就一直沿用到现在。今天写文章写的兴起,不是电电提醒,我都忘了这个了。看来,真的要集思广益才好。,哈哈!!不过真的如曲中求兄所说。这些说出来,好多人学会了破坏方法了。哈哈没法,不说,好多人又不知道怎么防护。看来 ,矛和盾永远要斗下去了。哈

今天回家,我仔细测试和查看了一下dll调用情况,有几点发现:
①电电和我的版本一样,都是Premium版本的。从图片看,所列的服务进程中,2个是邮件监控用的。这两个我是禁用的。另外一个是计划升级服务。还有个是托盘交互进程。漏掉了重要的监控防护服务进程avguard。特此更正一下。
②我使用工具在所有进程中查找进程调用dll的情况(包括系统进程和服务和小红伞自身所有进程等),发现在我的机器中,无论c版和p版均不调用电电所说的avsda.dll(该文件的确存在于system32中)。因此,说明在我的机器中这个文件不需要。尝试删除system32下的这个文件,可以正常删除。进一步证明其未被任何进程锁定。
③为了防止意外,我还是按照电电的方法试验了一下,在安装目录建了一个空文件,取名avsda.dll,重启计算机后。如我所料,小红伞一切工作正常。因此我怀疑,该dll文件可能只用于启用安装了邮件监控组件的情况,这点我不便测试了。
④随后,我查了安装小红伞p和c版的安装快照,发现小红伞安装后,只新增了一个dll文件到system32目录,就是这个avsda.dll。所以我想,即使考虑此问题,我们可以从system32复制一个avsda.dll文件到安装目录,(同时设置该文件为系统、只读属性)这样可以在一定程度上防止电电所说的情况发生。
以上只是针对小红伞的情况(比较简单,只有一个),其他杀软一般写入系统的dll过多,有些麻烦的。哈哈。
不过,虽然如此,的确如电电提醒的,现在的病毒狡猾得很。就针对这个dll文件还可以做手脚的,大家还要提防另外的破坏方法。

⑤使用hips软件的确可以防止电电所说的攻击,但是又真的会导致小红伞升级更新无法停止服务进程了。所以也是个问题。
电电站在攻击者身份的分析相当正确,值得我们学习思路。
jiyizdy
发表于 2007-6-20 15:51:22 | 显示全部楼层
支持周版,学习了,
doLoroso
发表于 2007-6-20 17:00:39 | 显示全部楼层
晓月果然厉害!

不过还是没看懂
回去慢慢研究
huanxu
发表于 2007-6-20 17:06:43 | 显示全部楼层
哇,被周周抢先转过来
allenhippo
发表于 2007-6-20 17:09:06 | 显示全部楼层
破坏杀软的监控等于从入室盗窃转变为入室抢劫了。
闪电战
发表于 2007-6-20 19:20:01 | 显示全部楼层
使用HIPS保护进城不被结束不会影响程序正常退出
我试过的
deane_tiantian
发表于 2007-6-20 19:24:30 | 显示全部楼层
5楼的兄弟形容的透彻啊
booohr
头像被屏蔽
发表于 2007-6-25 10:52:19 | 显示全部楼层
呵呵,说的好。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 20:55 , Processed in 0.112900 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表