1   1  /  1  页   跳转

[求助] 建议内核加固增加一项规则

收藏
立刻回答
头像
锋芒艾服狮
  • 帖子:1357
  • 注册: 2009-06-29
  • 来自:
发表于: 2011-08-05 17:24 | 只看楼主 短消息 资料
字号: 1楼

建议内核加固增加一项规则

  最近2012等的大家很着急,不过还是想要提一个2011的建议

  就是在内核加固中增加"修改目标进程的内存",尤其是系统进程以及信任的应用程序.

  之所以建议增加这个项目,原因有二:

    1.这是一项恶意程序经常利用的一项远程注入技术,能够完全掌握目标程序,使其成为傀儡,执行各种恶意行为;
      对于直接信任具有数字签名程序机制的防御软件更加是隐患,恰巧瑞星就是这样;

    2.木马防御能够在一定程度上防御这个行为带来的一系列后果,但是往往处理的不是很完美,
  会有一些多余的动作无法拦截干净,可以试试我给出的样本.


  瑞星在SSDT中均挂钩了类似NtWriteVirtualMemory的底层函数,相信实现难度不大;


  希望2012更加美好!

样本链接:http://bbs.kafan.cn/thread-1045563-1-1.html


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
分享到:
gototop
 
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2011-08-05 19:17 | 短消息 资料
字号: 2楼

回复:建议内核加固增加一项规则

添加这项 检测  没有任何难度,瑞星2008就有这个监控项了

不过 后来版取消了!!!
gototop
 
瑞星工程师16
头像
在线技术支持工程师
  • 帖子:9362
  • 注册: 2008-09-08
  • 来自:
发表于: 2011-08-08 10:33 | 短消息 资料
字号: 3楼

回复:建议内核加固增加一项规则

该建议已反馈相关部门,感谢您对瑞星的支持!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT