【分享】◆孙子兵法 ★ 之杀毒篇◆ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【分享】◆孙子兵法 ★ 之杀毒篇◆

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

【分享】◆孙子兵法 ★ 之杀毒篇◆

A星夜的离别初生襁褓狮帖子:85 注册: 2005-07-04 来自:	发表于： 2005-12-10 10:30 \| 只看楼主短消息资料字号：小中大 1楼【分享】◆孙子兵法 ★ 之杀毒篇◆ 孙子兵法之杀毒篇：KV2006VS电脑病毒作者：王硕转摘自江民杀毒软件应用暨病毒防御技巧征文大奖赛优秀文章(写技巧送现金大奖哦2006年1月6日结束) 自打俺家配的第一台计算机中病毒起，俺就感觉到，与病毒的较量，肯定是场持久战！俺还记得最初用KV300和俺经历的第一个病毒3783打阵地战的时候，那时的DOS/WIN95时代，只要染毒，偶就拿出杀手锏：A盘冷启动机器，插入那张写着KV300的3.5寸软盘，输入KV300.exe，回车，枪林弹雨之后，必是病毒败阵，那个时代此招乃杀克毒必杀技，遇毒必杀，屡试不爽…… 时过境迁，没想病毒也是旧貌换新颜，不论装备上还是战术上都不可同日而语，记得CIH吗？是谁能隐忍不动，待26日便一剑锁喉，直捣PC的BIOS？记得BO吗？是谁打响了与计算机的间谍战？记得冲击波吗？是谁具备短时间对全球计算机进行精确致命打击的强大力量？然今日，病毒更恐怖了，系统服务后门、dll注入式后门、rootkit、流氓软件……在病毒的潮水攻势面前，仅一款杀毒软件，可能捍我PC百毒不侵？甭急，且以KV2006为将，借力孙子兵法，共降浩瀚毒军，捍卫俺们PC的领土完整！知彼知己者，百战不殆没错，和病毒打仗，杀软的性能指标、病毒的主流技术，这些不能不知道啊。先来看看我方良将KV2006：特长功能：占用资源少，监控灵敏，查壳功能强大（个人认为KV的查壳功能是国产三大杀软中最强的），bootscan启动前杀毒，木马一扫光，未知病毒检测(这里有必要提一下，或许有很多网友认为bootscan和木马一扫光没用，包括我之前也这么认为，但事实上对于rootkit和dll注入式后门，这两个功能是非常有针对性的)。再来看看病毒的一些主流技术：这里只挑出一些比较有代表性病毒来举例，因为他们相对而言比较难对付(擒贼先擒王嘛J) 系统服务式后门：这个还比较好对付，就是把后门注册成系统服务了，杀完毒记得把服务也删除就行了。 Dll注入式后门：相对而言也比较好对付，就是比较隐蔽，自身无进程，在KV的病毒库未更新前危害相对较大。 Rootkit：这个是最麻烦的，简直是个刺儿头，浑身是钩子的家伙到处乱挂。 ……剩下的，全部PASS吧，我等菜鸟只需了解这些就以足够，琐碎的细节的，交给KV研发部的工程师吧。好了，我们开始上路，且在病毒之战中领略战争的艺术。兵之形，避实而击虚有些病毒用常规的办法确实难以对付，比如rootkit这类的刺儿头，所以我们先拿它开刀。在普通情况下，由于这个东西挂接系统api，隐身性能极佳，这个是rootkit的原话：This software generates a system patch that will hide processes, files, folders, registry keys and netstat entries from Windows 95/98/ME/NT/2k/XP/2003.这个东东产生一个系统补丁可以隐藏95/98/ME/NT/2k/XP/2003系统的进程、文件、文件夹、注册表键值和网络链接信息。是不是很酷？好在单纯的rootkit没有危害性，所以确实只是很酷，不过相同原理的木马比如灰鸽子可就让我等菜鸟却觉得很苦，搞不好要哭呢！在常规情况下根本搞不定它，资源管理器中看不到它，进程管理器中看不到它！开了杀软不管你怎么杀，都是下面那个样子，每次都是杀出一堆毒，杀了还有、有了还杀、杀了又有…… 怎么办？想想孙子老先生的一句兵法――兵之形，避实而击虚。既然rootkit如此凶悍，我们就避开它的锋芒，来暗杀，KV2006不是有bootscan吗，rootkit再狠，也要等到系统启动后它才能发狠，要是在系统启动前，rootkit啥都做不了只能睡大觉，OK，KV2006出马，，设定bootscan，上刺刀：扫描路径设为C:\WINDOWS\，对于不同的此类型病毒可以根据其自身特点设定bootscan扫描范围，以达到既无漏扫又能清除干净的效果。依照上图设置完成，ALT+F4，R键重启系统吧，等系统启动了，也该为rootkit送终了。令之以文，齐之以武，是谓必取对付dll注入式后门，怎么办呢？资源管理器中看不到进程，用KV杀毒，通常情况下能查出来，但总是删除失败啊！不错，由于资源管理器的特殊性――正常情况下是永远运行，因此很多dll注入式后门都把windows资源管理器（explorer）作为注入目标，还有一个常用的注入目标就是IE浏览器，下面我们就着重讨论怎么降服dll注入后门。当然是先派侦察兵找蛛丝马迹了，打开天网防火墙(实际用KV防火墙也可以办到，但是因为个人偏爱，还是以天网为例)，奇怪，怎么资源管理器windows explorer打开1327端口监听了？很有可能是被dll后门注入了。OK，第一手资料获得.......... 不战而屈人之兵，善之善者也没错，能攻心，则反侧自消，自古知兵非好战嘛，虽然俺装了KV2006，但说真的俺不愿意和病毒打仗，劳神又费时！俺还记得以前在98下用KV3000杀冰河，木马是杀掉了，但是系统却不正常了，杀软和病毒打仗，无论谁胜谁负，苦的都是俺等老百姓（什么？杀软大获全胜了就不苦了？你以为听着硬盘咔咔的响近1小时，我等百姓只能苦等，难道不苦啊？）！没办法后来还是重装了！但万一哪天中马了，俺怎么办呢？杀？费时，更麻烦的是杀马后对系统的修整。不杀？废话，肯定不行。有没有两全其美的办法？有！实际每一个木马上都有服务端卸载功能，我们要讲的就是利用他这个功能来攻其心，达到不战而屈马的目的.......... ...省略部分请查看江民网站相关信息...http://www.jiangmin.com/zhuanti/zw/zhengwen.htm 兵者，国之大事，死生之地，存亡之道，不可不查也这一条，也是最重要的一条，和平年代，但不能放松警惕，记得每天更新你的KV2006。还有不要随便运行别人发过来的可执行文件，尤其是大小在100k以下的，不要访问那些乱七八糟的网站，经常进行WINDOWS安全更新，安全意识也是很重要的。虽然不会天天中病毒，但下毒之心不可有，防毒之心不可无，时刻要把你的KV2006保持在最佳状态，养兵千日，用兵一时，养比用要更花时间和精力。结语: 这里介绍了几种有代表性的病毒的KV2006解决方案，有几种解决方案几乎是"歪门邪道"，哈哈，兵临险着，讲究出奇制胜嘛，用KV也应该不拘一格，本着查杀彻底，不伤系统，尽量不重启的原则，怎么用方便就怎么用，如果有让您头痛的病毒，利用常规方法都是清除失败的病毒，不妨也用"歪门邪道"试试，或许会收到意想不到的效果哦。人民的力量是无穷无尽的，我们要把病毒卷入人民战争的汪洋中去……（哎哟，谁扔的砖头，鸡蛋，还有烂西红柿……）附：笔者计算机配置：康柏自由人笔记本（2815TC） CPU：P4-M 1.6G RAM：256M DDR 硬盘：30G 显示卡：ATI RADEON 7500-M 操作系统：WINDOWS XP PRO SP2 ======转自江民杀毒软件应用暨病毒防御技巧征文大奖赛优秀文章选登====== 2005-12-10 11:00:25
A星夜的离别初生襁褓狮帖子:85 注册: 2005-07-04 来自:	分享到：

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2005-12-10 10:53 \| 短消息资料字号：小中大 2楼写得有一点花哨。作者清除病毒的方法似乎有些繁琐．没有说ＫＶ如何查杀灰鸽子的．引用: 结语: 这里介绍了几种有代表性的病毒的KV2006解决方案，有几种解决方案几乎是"歪门邪道"，哈哈，兵临险着，讲究出奇制胜嘛，用KV也应该不拘一格，本着查杀彻底，不伤系统，尽量不重启的原则，怎么用方便就怎么用，如果有让您头痛的病毒，利用常规方法都是清除失败的病毒，不妨也用"歪门邪道"试试，或许会收到意想不到的效果哦。红字部分不是吹牛？？就连卡巴斯基公司都不敢说能把病毒＂查杀彻底＂,作者就这么＂自信＂地打出＂查杀彻底＂的牌子．感觉可信度不大．任何东西都是有利有弊的，诚然，杀毒软件也是如此．没有一个杀毒软件没有缺点的．然而作者却光写了缺点，好像作广告一样。这种做法是不可取的。作者好像以为KV是杀毒软件中无可挑剔的，就不写缺点，可是，你看：监控：跟ＳＳＭ还差得很远杀毒：无法跟卡巴斯基的查杀率（９９．９％．江民才８０％多）相比. 脱壳:要学习卡巴斯基强力脱壳.差得远呢. 防火墙:较为落后,和打了taylor05771的瑞星防火墙无法相比. 总体来说,江民杀毒软件还有待进一步提高. 声明:我不完全反对作者的文章,在我看来,作者的文章是有很多可取之处的,写作手法运用得很好,描写很生动.利远远大于弊端. 以上是对作者和江民的一些建议!
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

A星夜的离别初生襁褓狮帖子:85 注册: 2005-07-04 来自:	发表于： 2005-12-10 10:56 \| 只看楼主短消息资料字号：小中大 3楼楼上说的有些道理！咔吧是厉害，可惜有时喜欢误报，总体来说,江民杀毒软件还有待进一步提高. 赞同！
A星夜的离别初生襁褓狮帖子:85 注册: 2005-07-04 来自:

大猩初生襁褓狮帖子:175 注册: 2005-11-13 来自:	发表于： 2005-12-10 11:00 \| 短消息资料字号：小中大 4楼受教了
大猩初生襁褓狮帖子:175 注册: 2005-11-13 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT