http://bbs.kafan.cn/viewthread.php?tid=225314

运行后有提示尽可阻止，等上一两分种，看你的所用的hips会被它过吗?当然组策略我只关心基本用户，你不允许肯定不会被过，呵呵
中招症状：
1.ssdt全被恢复，hips保护失效
2.会在系统中生成一个木马程序，联网下载

保险起见，请在影子下或vm中运行病毒，在vbox下此毒无效。
-----------
by  sxingbai

看來現在要過HIPS只剩下Ring0
要看是HIPS還是病毒比較深入系統核心

如果微軟自己出HIPS 應該會非常強 因為系統核心的某些秘密只有他知道

目前有方法 可以封鎖 SSDT 不被恢復嗎
這個功能 最近被研究很大
手邊也有這個源碼 雖然目前只能查看
一旦被恢復 很多防軟都失效
可比 IFEO 劫持更利害
想研究如何保護此功能 不被更改

依照目前統計，需要4個方法：

1.載入驅動
2.存取實體記憶體
3.監控系統除錯模式
4.低階 寫 磁碟操作

McAfee Generic.rootkit.d

果然回歸到最後 還是要驅動級才能解決
不過想一想 是否目前可以瀏覽SSDT
不知道可否備份下來 雖然被恢復了
但我們也可以還原回去
這法 不知可否

也得先 砍掉病毒呀，

不然，還原回來，病毒再恢復，就這樣一直循環

嗯 除非病毒本身會一直監控 SSDT
在IFEO 劫持我的作法是 先恢復它 再判斷是何種病毒
若能手動刪除就去刪除它
最後開啟防毒功能去全系統掃瞄

依 SSDT 技術來說 雖是驅動級 若能找出該驅動檔
先行刪除並注入疫苗方式 讓其無法執行

現在 病毒技術越來越強 再搭配ROOTKIT 就很難去發現

總之 最後結論是
想要碰到SSDT 還是要驅動級才行

呵呵 要寫入或保護的話 可能還是需要使用到驅動
這部份技術性很高 需要好好研究研究了

對於 SSDT 還有很多不懂的地方
還要請大家給予指教

277        當前地址:0xF47963D0        內核模塊:C:\WINDOWS\system32\drivers\klif.sys
真實地址:0x8058798B        IsHook:Yes        函數:NtWriteVirtualMemory

上面那段是 分析出來的一段 應該是 卡巴斯基的驅動
並且所調用的函數及其他位置資料

比較不了解的是 那個 當前位置與真實位置 是固定還是變動
如一般規則來判斷 真實位置應該是不變的 當前位置應是會變動
所以在還原回去時 也要指定真實位置給它 否則可能無法運作
這樣說法不知正不正確

等了10分鐘
KAV的SSDT沒有被還原

是實機還是虛擬機呢
我那台測試機 目前另有作用 要晚點才能測
KAV 沒有發報 有可疑檔案嗎

剛稍微測一下 卡巴 有發報
Trojan-Proxy.Win32.Wopla.ag

[ 本帖最後由 upside 於 2008-3-29 13:25 編輯 ]

當然是關了引擎測試的
在虛擬機下測試樣本
我不可能用實機來測試

我測過阻止以及不阻止兩種
阻止後10分鐘內SSDT沒有被還原
沒有阻止SSDT馬上被還原

有没有类似微点或者江民的用户

这类杀毒软件每隔一段时间会自动重新挂 SSDT

看看能否解决这类杀毒软件的 SSDT HOOK