更多的安全資訊 請參訪 :
http://www.wretch.cc/blog/viruslab
3月19日,由中國最大的互聯網綜合服務提供商騰訊發起和組織的互聯網安全峰會進入第二天。包括
微軟、盛大、新浪等互聯網界各大巨頭的技術專家,學者和專業人士參與了此次的交流。此次峰會是今年以來首場由中國互聯網各頂尖企業共同參與的大型網路安全專業盛會。
來自奇虎的反木馬專家鄭文彬,在現場發表演講。以下為文字實錄:
鄭文彬:大家好!我今天給大家介紹這幾個方面:背景、還原系統技術原理概覽、流行還原系統穿透技術介紹、通用還原系統保護技術、演示& GuardField、還原系統保護之未來
趨勢。最近一段時間,有機器狗這類病毒工具對還原系統攻擊,使用還原系統環境的用戶一般都不會安裝其他的防護軟 件,一旦還原軟體被穿透的話,會帶來比較大的安全威脅。
還原系統技術原理:基本原理是磁盤設備過濾驅動。比較常用方法是自己會建一個 磁盤捲設備,在harddiskX進行文件過濾。過濾驅動如何做到還原?首先還原系統會在磁盤上分配一塊預留的區域,應用程式以為他已經寫到真實磁盤,實 際上被分配到一塊內容區域裡,真實磁盤根本就沒有被寫入。
剛才說了還原系統的一些基本原理,知道原理之後對如何穿透還原也就很簡單了。既然還原系統 都在磁盤上過濾驅動,只要我們解除過濾驅動與真實磁盤之間的關係,繞過過濾關係的話,就等於直接穿透了還原。第一種方法:DR0設備過濾設備鏈摘鏈。這種 方法其實就是摘除一個harddiskDR0上的過濾設備。指明設備上會有哪些過濾設備,第一代機器狗病毒將這個域給清零
閱讀完整的 奇虎鄭文彬:還原系統保護技術原理和攻防 新聞
更多的安全資訊 請參訪 :
http://www.wretch.cc/blog/viruslab
