[讨论][建议]关于过主动防御的方法怎么实现？-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
冰河之恋雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	冰河之恋 2 楼难道没人知道吗？ 2009-6-19 16:37 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼看了楼主贴的链接，“过主动防御”的字眼可以说纯粹是标题党，准确地来说应该是“某些相对较隐蔽的启动程序的方式”。里面提到的注册表路径，基本上人尽皆知，所以基本没有什么意义。至于真正的“过主动防御”，上次在debugman潜水，看到MJ关于这个的发言，觉得说得在理。MJ发言的大意是：对于某些无论拦到什么都询问的愣头青式HIPS，要让它不报一般得是非公开方法了，但是对于其他一般的HIPS（拦截后判断为危险操作才提示，不认为是危险操作就放过），即使实质上是用的常规方法，也可以通过某些花招让其认为是可信任操作而自动放行，这就是通常的“过主动防御”。 “过主动防御”这个标签一贴上，就显现出太明显的目的性（被打上制作病毒木马的嫌疑），楼主觉得大家会公开以这个为主题来讨论吗？！ 2009-6-19 18:59 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 4 楼即使是愣头青HIPS,也可以利用其处理中的一些缺陷，来绕过，这介于非公开方法和钻空子之间~ 2009-6-19 19:02 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 5 楼在kmixer.sys上作文章~ 2009-6-19 21:42 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 6 楼这篇文章上的过主动防御方法都是无效的~ 你自己都没有研究还要别人给你答案，你是在搞笑是不是？ 2009-6-19 21:44 0
nimda 雪币： 197 活跃值： (52) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 56 粉丝 1 关注私信	nimda 1 7 楼这问题问的也太露股了吧 2009-6-19 23:41 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 8 楼露"股"........... 2009-6-19 23:47 0
guijian 雪币： 717 活跃值： (1832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 133 粉丝 0 关注私信	guijian 9 楼上面的回答有意思............ 2009-8-11 20:04 0
ashtO 雪币： 102 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 67 粉丝 0 关注私信	ashtO 10 楼 .我爱上三楼了 2009-8-12 13:28 0
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 11 楼说下，主动防御是靠函数来控制的，你想知道一个进程有什么行为，只要调用API就可以大概清楚知道了！还有根据现在病毒和木马编写程序没有达任何木马可以达到HAL上另外现在杀毒软件也不会对系统内核进行扫描查杀，你如果写的木马可以涉足到内核上就OK! 2010-1-24 17:08 0
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 12 楼过主动防御去过。。。麦咖啡？ 2010-1-24 17:08 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 13 楼好像是150K以上的程序是让你加载驱动的 2010-1-25 10:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
冰河之恋雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	冰河之恋 2 楼难道没人知道吗？ 2009-6-19 16:37 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼看了楼主贴的链接，“过主动防御”的字眼可以说纯粹是标题党，准确地来说应该是“某些相对较隐蔽的启动程序的方式”。里面提到的注册表路径，基本上人尽皆知，所以基本没有什么意义。至于真正的“过主动防御”，上次在debugman潜水，看到MJ关于这个的发言，觉得说得在理。MJ发言的大意是：对于某些无论拦到什么都询问的愣头青式HIPS，要让它不报一般得是非公开方法了，但是对于其他一般的HIPS（拦截后判断为危险操作才提示，不认为是危险操作就放过），即使实质上是用的常规方法，也可以通过某些花招让其认为是可信任操作而自动放行，这就是通常的“过主动防御”。 “过主动防御”这个标签一贴上，就显现出太明显的目的性（被打上制作病毒木马的嫌疑），楼主觉得大家会公开以这个为主题来讨论吗？！ 2009-6-19 18:59 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 4 楼即使是愣头青HIPS,也可以利用其处理中的一些缺陷，来绕过，这介于非公开方法和钻空子之间~ 2009-6-19 19:02 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 5 楼在kmixer.sys上作文章~ 2009-6-19 21:42 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 6 楼这篇文章上的过主动防御方法都是无效的~ 你自己都没有研究还要别人给你答案，你是在搞笑是不是？ 2009-6-19 21:44 0
nimda 雪币： 197 活跃值： (52) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 56 粉丝 1 关注私信	nimda 1 7 楼这问题问的也太露股了吧 2009-6-19 23:41 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 8 楼露"股"........... 2009-6-19 23:47 0
guijian 雪币： 717 活跃值： (1832) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 133 粉丝 0 关注私信	guijian 9 楼上面的回答有意思............ 2009-8-11 20:04 0
ashtO 雪币： 102 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 67 粉丝 0 关注私信	ashtO 10 楼 .我爱上三楼了 2009-8-12 13:28 0
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 11 楼说下，主动防御是靠函数来控制的，你想知道一个进程有什么行为，只要调用API就可以大概清楚知道了！还有根据现在病毒和木马编写程序没有达任何木马可以达到HAL上另外现在杀毒软件也不会对系统内核进行扫描查杀，你如果写的木马可以涉足到内核上就OK! 2010-1-24 17:08 0
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 12 楼过主动防御去过。。。麦咖啡？ 2010-1-24 17:08 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 13 楼好像是150K以上的程序是让你加载驱动的 2010-1-25 10:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复