打印

[討論] 原來ThreatFire沒有自我保護....

ㄚ一

我愛小紅獅

AV Expert

Rank: 8 Rank: 8

小紅獅親衛隊隊長

帖子: 4886
精華: 18
威望: 30306
黃金: 3508
來自: 台灣台北
註冊時間: 2006-12-22

1^# 大中小發表於 2008-1-29 22:19 只看該作者

原來ThreatFire沒有自我保護....

今天無意間發現TF沒有SSDT hook
隨便試了一下,兩個進程果然很輕易的就被結束了
目前應該是還沒有特別針對TF的病毒,不過還瞞訝異的
很少有HIPS不保護自身的

搜索更多相關主題的帖子: ThreatFire HIPS 智能化HIPS

Lawliet's blog
Folding@home with GPGPU集中討論串，大家一起來努力朝著全球制霸的目標邁進！

TOP

Bug

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 2045
精華: 4
威望: 13269
黃金: 35
註冊時間: 2007-5-18

2^# 大中小發表於 2008-1-29 22:30 只看該作者

那麼ㄚ一大有沒有目前比較推薦的智能HIPS呢?
犀牛還是很卡阿

TOP

integear

誰說要看俺騎木馬的!?

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 4995
精華: 4
威望: 31124
黃金: 14093
來自: 台灣ㄟ"彰化"
註冊時間: 2006-12-23

3^# 大中小發表於 2008-1-29 23:04 只看該作者

ㄚ一最近會發某HIPS的相關評測,先幫ㄚ一賣個關子囉

.

TOP

SPeter

金牌會員

Rank: 6 Rank: 6

帖子: 1140
精華: 0
威望: 6820
黃金: 6882
註冊時間: 2007-3-13

4^# 大中小發表於 2008-1-29 23:12 只看該作者

ThreatFire沒有自我保護這個問題，官方論壇上測試期就有人提出，不過當時提問者除了一般終止還用ICESWORD去砍……感覺他們不認為這項有必要修改的樣子。當時的理由似乎是，如果不是使用者刻意終止，而是惡意程式行為，會被一般監控擋下（好像，我不確定）。

期待新的HIPS評測。

問題是，到底你要相信自己舊有的瘋狂理論，還是你那雙會說謊的眼睛？
～艾倫‧葛林斯潘，《THE AGE OF TURBULENCE》

「他看見了我的靈魂、我的恐懼、我的脆弱、我無能面對一個我假裝很在行的世界，而我對這個世界一無所知。」
～保羅‧科爾賀，《愛的十一分鐘》（Onze Minutos）

TOP

pingu

中級會員

Rank: 3 Rank: 3

帖子: 66
精華: 0
威望: 160
黃金: 188
註冊時間: 2007-4-23

5^# 大中小發表於 2008-1-29 23:33 只看該作者

我也想知道有沒有哪一款HIPS可以建議的

TOP

ㄚ一

我愛小紅獅

AV Expert

Rank: 8 Rank: 8

小紅獅親衛隊隊長

帖子: 4886
精華: 18
威望: 30306
黃金: 3508
來自: 台灣台北
註冊時間: 2006-12-22

6^# 大中小發表於 2008-1-29 23:46 只看該作者

引用:

原帖由 SPeter 於 2008-1-29 23:12 發表
ThreatFire沒有自我保護這個問題，官方論壇上測試期就有人提出，不過當時提問者除了一般終止還用ICESWORD去砍……感覺他們不認為這項有必要修改的樣子。當時的理由似乎是，如果不是使用者刻意終止，而是惡意程式行為 ...

如果病毒能夠取得ring 0或是存在於kernel level,那TF所謂的由監控阻止應該是不存在的
而且我剛剛用ATP試圖終止TF,很遺憾的馬上成功,或許TF可以制定保護自己的規則,不過我要先研究一下

Lawliet's blog
Folding@home with GPGPU集中討論串，大家一起來努力朝著全球制霸的目標邁進！

TOP

ㄚ一

我愛小紅獅

AV Expert

Rank: 8 Rank: 8

小紅獅親衛隊隊長

帖子: 4886
精華: 18
威望: 30306
黃金: 3508
來自: 台灣台北
註冊時間: 2006-12-22

7^# 大中小發表於 2008-1-30 02:13 只看該作者

發現TF的死穴,雖然直接中只進程TF會攔截
但如果只是先將進程暫停後再中止,這樣TF就沒輒了了
ATP只是個很簡單的中止測試程式而已
我會建議TF官方老實一點把自我保護功能做進去

Lawliet's blog
Folding@home with GPGPU集中討論串，大家一起來努力朝著全球制霸的目標邁進！

TOP

asusp4b533

LieroX - NewBie

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 1136
精華: 1
威望: 4035
黃金: 5480
註冊時間: 2007-8-13

8^# 大中小發表於 2008-1-30 08:54 只看該作者

我剛剛看了Core Force 的 SSDT
用alphar2.sys掛了
NtClose
NtCreateKey
NtDeleteKey
NtDeleteValueKey
NtEnumerateKey
NtEnumerateValueKey
NtLoadKey
NtOpenKey
NtQueryKey
NtQueryValueKey
NtSetValueKey
NtUnloadKey

連Core Force都掛了

TF沒有掛真是不可思議

不知道它是怎麼攔截操作,該不會是Hook API吧

TOP

key

中級會員

Rank: 3 Rank: 3

帖子: 104
精華: 0
威望: 160
黃金: 2
註冊時間: 2007-4-13

9^# 大中小發表於 2008-1-30 13:14 只看該作者

挡住ICESWORD 小菜一碟

No virus is "a" good news.

TOP

integear

誰說要看俺騎木馬的!?

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 4995
精華: 4
威望: 31124
黃金: 14093
來自: 台灣ㄟ"彰化"
註冊時間: 2006-12-23

10^# 大中小發表於 2008-1-30 13:30 只看該作者

引用:

原帖由 key 於 2008-1-30 13:14 發表
挡住ICESWORD 小菜一碟

目前還沒看過有哪個防毒擋的住IceSword

.

TOP

Roger

Analyst Expert

Rank: 8 Rank: 8

帖子: 2376
精華: 1
威望: 5383
黃金: 9635
註冊時間: 2007-3-14

11^# 大中小發表於 2008-1-30 15:19 只看該作者

回復 10# 的帖子

江民可以，

不過，聽別人說這種技術，造成兼容性極差

TOP

integear

誰說要看俺騎木馬的!?

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 4995
精華: 4
威望: 31124
黃金: 14093
來自: 台灣ㄟ"彰化"
註冊時間: 2006-12-23

12^# 大中小發表於 2008-1-31 16:09 只看該作者

引用:

原帖由 Roger 於 2008-1-30 15:19 發表
江民可以，

不過，聽別人說這種技術，造成兼容性極差

江民好像是靠主動防禦偵測的吧

.

TOP

000110

AV Expert

Rank: 8 Rank: 8

帖子: 1947
精華: 9
威望: 8610
黃金: 2114
註冊時間: 2007-1-17

13^# 大中小發表於 2008-1-31 16:39 只看該作者

回復 12# 的帖子

應該不是
即使停止主動防禦, 並開啟ICESWORD終止江民的應用程式
也無法成功

TOP

integear

誰說要看俺騎木馬的!?

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 4995
精華: 4
威望: 31124
黃金: 14093
來自: 台灣ㄟ"彰化"
註冊時間: 2006-12-23

14^# 大中小發表於 2008-1-31 16:53 只看該作者

引用:

原帖由 000110 於 2008-1-31 16:39 發表
應該不是
即使停止主動防禦, 並開啟ICESWORD終止江民的應用程式
也無法成功

難道江民用特殊的SSDT

!?

TOP

said411f

小羊羊

金牌會員

Rank: 6 Rank: 6

無良水電

帖子: 920
精華: 0
威望: 7122
黃金: 326
註冊時間: 2007-9-16

15^# 大中小發表於 2008-1-31 16:55 只看該作者

引用:

原帖由 Roger 於 2008-1-30 15:19 發表
江民可以，

不過，聽別人說這種技術，造成兼容性極差

之前試用心得........兼容性極差偶投1票.....

只好又投入avast的懷抱...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
不含江民KV2008的基本安裝~~
Spyware Doctor 5.5.0.176 Beta
Xoft SpySE 4.29
PeerGuardian2

主機條件

主動防禦設定

window防火牆設定

window隱私權設定

網址過濾以PeerGuardian 2 代替( 江民KV2008卡網的原因 )

PeerGuardian 2 設定 : 封鎖HTTP

安全監控設定

http://www.pcflank.com/test.htm測試>>>>>>>>>

Stealth Test測試

Exploits test

Advanced Port Scanner

追加安全補丁WindowsXP-KB925902-x86-CHT : MS07-017漏洞名稱[GDI漏洞導致遠程代碼被執行 (925902)]

http://www.microsoft.com/taiwan/ ... letin/ms07-017.mspx

測試連線速率 :

http://speed.anet.net.tw/result.php

http://www.hinet.net/support/testspeed.htm?index.htm

http://www.ascc.sinica.edu.tw/netsrv/speed/index.php

基本上測試還不錯.它的主動防禦如果設定得當江民防火牆應該沒必要再安裝.

TOP

integear

誰說要看俺騎木馬的!?

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 4995
精華: 4
威望: 31124
黃金: 14093
來自: 台灣ㄟ"彰化"
註冊時間: 2006-12-23

16^# 大中小發表於 2008-2-1 22:48 只看該作者

江民應該是中國三大龍頭裡主動防禦做的最好的一家,而瑞星的主動防禦則常常被抨擊

.

TOP

帶您瞭解卡巴斯基2009防禦體系	還有大廠在使用檔案大小判毒	KIS 2009 評測	GDATA 2009中文化簡評
使用過一些防毒軟體之後的心得	Comodo Internet Security Beta	GDATA 2009 行為監控簡評	敢相信掃毒軟體和VT嗎?