Dear all,

    最近看很多媒体在疯狂地炒作“熊猫烧香”的作者，貌似作者想找个好公司工作
（尤其想进入金山），但频遭杀软公司拒绝。

    我想了解一下，这种病毒到底有多少技术含量，听有些网友说熊猫烧香只是在
被人基础上加壳，没有太大技术含量。
    按我的理解，计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
已，而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中，遇到特征相符
的进程或文件，再执行相应的查杀操作。
    不知这种看法是否靠普？ 望达人科普一下。

B.R
Thanks
Kermit

On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote:
> Dear all,
> 
>     最近看很多媒体在疯狂地炒作“熊猫烧香”的作者，貌似作者想找个好公司工作
> （尤其想进入金山），但频遭杀软公司拒绝。
> 

当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。

>     我想了解一下，这种病毒到底有多少技术含量，听有些网友说熊猫烧香只是在
> 被人基础上加壳，没有太大技术含量。

主要是钻了AUTORUN.INF这种自启动的空子，当时还没有引起多少防范。
曾经直接做SSDT的Hook来避免被杀的，而现在这一技术面临一个瓶颈：如果杀毒软
件先进行了处理，病毒就没有机会了。除非采用了新的系统漏洞。

>     按我的理解，计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
> 已，而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中，遇到特征相符
> 的进程或文件，再执行相应的查杀操作。
>     不知这种看法是否靠普？ 望达人科普一下。
> 

静态查毒就是采用这种方式。
动态防毒主要是通过驱动建立系统HOOK，来进行监控。这就是许多杀毒软件检查到
什么都问一下你怎么处理，比如添加注册表添加自启动项。

由于AUTORUN.INF的传播方式被杀毒软件堵住了，现在基本上都直接使用GUI+，
IE、ADOBE相关的漏洞达到传播的目的（需要用户浏览带毒网页才行）。比较传统
的，发送捆绑了病毒的软件也是存在的。

类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候，会有至少一个星期的
时间让“爱好者”随便的寻找肉鸡，找到肉鸡之后直接放毒。

> B.R
> Thanks
> Kermit
> 
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
> 
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org

2010/1/15 Vietor Liu <ml-wine在vxwo.org>:
> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote:
>> Dear all,
>>
>>     最近看很多媒体在疯狂地炒作“熊猫烧香”的作者，貌似作者想找个好公司工作
>> （尤其想进入金山），但频遭杀软公司拒绝。
学武得先学武德，一个道理吧。
>>
>
> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。
>
>>     我想了解一下，这种病毒到底有多少技术含量，听有些网友说熊猫烧香只是在
>> 被人基础上加壳，没有太大技术含量。
>
> 主要是钻了AUTORUN.INF这种自启动的空子，当时还没有引起多少防范。
> 曾经直接做SSDT的Hook来避免被杀的，而现在这一技术面临一个瓶颈：如果杀毒软
> 件先进行了处理，病毒就没有机会了。除非采用了新的系统漏洞。
>
>>     按我的理解，计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
>> 已，而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中，遇到特征相符
>> 的进程或文件，再执行相应的查杀操作。
>>     不知这种看法是否靠普？ 望达人科普一下。
>>
>
> 静态查毒就是采用这种方式。
> 动态防毒主要是通过驱动建立系统HOOK，来进行监控。这就是许多杀毒软件检查到
> 什么都问一下你怎么处理，比如添加注册表添加自启动项。
>
> 由于AUTORUN.INF的传播方式被杀毒软件堵住了，现在基本上都直接使用GUI+，
> IE、ADOBE相关的漏洞达到传播的目的（需要用户浏览带毒网页才行）。比较传统
> 的，发送捆绑了病毒的软件也是存在的。
>
> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候，会有至少一个星期的
> 时间让“爱好者”随便的寻找肉鸡，找到肉鸡之后直接放毒。

杀毒这种工作，要政治可靠的。熊猫烧香作者这种有污点的估计以后很难进来了。
不过金山也不厚道，给人家发个“民间**”简直是侮辱人家

2010/1/15 Kermit Mei <kermit.mei在gmail.com>:
> Dear all,
>
>    最近看很多媒体在疯狂地炒作“熊猫烧香”的作者，貌似作者想找个好公司工作
> （尤其想进入金山），但频遭杀软公司拒绝。
>
>    我想了解一下，这种病毒到底有多少技术含量，听有些网友说熊猫烧香只是在
> 被人基础上加壳，没有太大技术含量。
>    按我的理解，计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
> 已，而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中，遇到特征相符
> 的进程或文件，再执行相应的查杀操作。
>    不知这种看法是否靠普？ 望达人科普一下。
>
> B.R
> Thanks
> Kermit
>
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org



-- 
Ren Xiaolei

On Fri, 2010-01-15 at 20:42 +0800, Vietor Liu wrote:
> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote:
> > Dear all,
> > 
> >     最近看很多媒体在疯狂地炒作“熊猫烧香”的作者，貌似作者想找个好公司工作
> > （尤其想进入金山），但频遭杀软公司拒绝。
> > 
> 
> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。
> 
> >     我想了解一下，这种病毒到底有多少技术含量，听有些网友说熊猫烧香只是在
> > 被人基础上加壳，没有太大技术含量。
> 
> 主要是钻了AUTORUN.INF这种自启动的空子，当时还没有引起多少防范。
> 曾经直接做SSDT的Hook来避免被杀的，而现在这一技术面临一个瓶颈：如果杀毒软
> 件先进行了处理，病毒就没有机会了。除非采用了新的系统漏洞。
> 
> >     按我的理解，计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
> > 已，而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中，遇到特征相符
> > 的进程或文件，再执行相应的查杀操作。
> >     不知这种看法是否靠普？ 望达人科普一下。
> > 
> 
> 静态查毒就是采用这种方式。
> 动态防毒主要是通过驱动建立系统HOOK，来进行监控。这就是许多杀毒软件检查到
> 什么都问一下你怎么处理，比如添加注册表添加自启动项。
> 
> 由于AUTORUN.INF的传播方式被杀毒软件堵住了，现在基本上都直接使用GUI+，
> IE、ADOBE相关的漏洞达到传播的目的（需要用户浏览带毒网页才行）。比较传统
> 的，发送捆绑了病毒的软件也是存在的。
> 
> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候，会有至少一个星期的
> 时间让“爱好者”随便的寻找肉鸡，找到肉鸡之后直接放毒。

说实话，没用过MFC和Win API之类的东西，对Hook这个概念一直难于理解，呵呵。

Thanks

2010/1/16 Kermit Mei <kermit.mei在gmail.com>:
> On Fri, 2010-01-15 at 20:42 +0800, Vietor Liu wrote:
>> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote:
>> > Dear all,
>> >
>> >     最近看很多媒体在疯狂地炒作“熊猫烧香”的作者，貌似作者想找个好公司工作
>> > （尤其想进入金山），但频遭杀软公司拒绝。
>> >
>>
>> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。
>>
>> >     我想了解一下，这种病毒到底有多少技术含量，听有些网友说熊猫烧香只是在
>> > 被人基础上加壳，没有太大技术含量。
>>
>> 主要是钻了AUTORUN.INF这种自启动的空子，当时还没有引起多少防范。
>> 曾经直接做SSDT的Hook来避免被杀的，而现在这一技术面临一个瓶颈：如果杀毒软
>> 件先进行了处理，病毒就没有机会了。除非采用了新的系统漏洞。
>>
>> >     按我的理解，计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
>> > 已，而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中，遇到特征相符
>> > 的进程或文件，再执行相应的查杀操作。
>> >     不知这种看法是否靠普？ 望达人科普一下。
>> >
>>
>> 静态查毒就是采用这种方式。
>> 动态防毒主要是通过驱动建立系统HOOK，来进行监控。这就是许多杀毒软件检查到
>> 什么都问一下你怎么处理，比如添加注册表添加自启动项。
>>
>> 由于AUTORUN.INF的传播方式被杀毒软件堵住了，现在基本上都直接使用GUI+，
>> IE、ADOBE相关的漏洞达到传播的目的（需要用户浏览带毒网页才行）。比较传统
>> 的，发送捆绑了病毒的软件也是存在的。
>>
>> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候，会有至少一个星期的
>> 时间让“爱好者”随便的寻找肉鸡，找到肉鸡之后直接放毒。
>
> 说实话，没用过MFC和Win API之类的东西，对Hook这个概念一直难于理解，呵呵。
>
> Thanks
倒钩 ;-)

Sutra Zhou 写道:
> 2010/1/16 Kermit Mei <kermit.mei在gmail.com>:
>   
>> On Fri, 2010-01-15 at 20:42 +0800, Vietor Liu wrote:
>>     
>>> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote:
>>>       
>>>> Dear all,
>>>>
>>>>     最近看很多媒体在疯狂地炒作“熊猫烧香”的作者，貌似作者想找个好公司工作
>>>> （尤其想进入金山），但频遭杀软公司拒绝。
>>>>
>>>>         
>>> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。
>>>
>>>       
>>>>     我想了解一下，这种病毒到底有多少技术含量，听有些网友说熊猫烧香只是在
>>>> 被人基础上加壳，没有太大技术含量。
>>>>         
>>> 主要是钻了AUTORUN.INF这种自启动的空子，当时还没有引起多少防范。
>>> 曾经直接做SSDT的Hook来避免被杀的，而现在这一技术面临一个瓶颈：如果杀毒软
>>> 件先进行了处理，病毒就没有机会了。除非采用了新的系统漏洞。
>>>
>>>       
>>>>     按我的理解，计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
>>>> 已，而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中，遇到特征相符
>>>> 的进程或文件，再执行相应的查杀操作。
>>>>     不知这种看法是否靠普？ 望达人科普一下。
>>>>
>>>>         
>>> 静态查毒就是采用这种方式。
>>> 动态防毒主要是通过驱动建立系统HOOK，来进行监控。这就是许多杀毒软件检查到
>>> 什么都问一下你怎么处理，比如添加注册表添加自启动项。
>>>
>>> 由于AUTORUN.INF的传播方式被杀毒软件堵住了，现在基本上都直接使用GUI+，
>>> IE、ADOBE相关的漏洞达到传播的目的（需要用户浏览带毒网页才行）。比较传统
>>> 的，发送捆绑了病毒的软件也是存在的。
>>>
>>> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候，会有至少一个星期的
>>> 时间让“爱好者”随便的寻找肉鸡，找到肉鸡之后直接放毒。
>>>       
>> 说实话，没用过MFC和Win API之类的东西，对Hook这个概念一直难于理解，呵呵。
>>
>> Thanks
>>     
> 倒钩 ;-)
>   
经典。明白了。就是钓鱼吧？
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org


-- 
Regards
 
Monnand
Email: monnand在gmail.com
GTalk: monnand在gmail.com

On Fri, 2010-01-15 at 13:40 -0500, monnand wrote:
> Sutra Zhou 写道:
> > 2010/1/16 Kermit Mei <kermit.mei在gmail.com>:
> >   
> >> On Fri, 2010-01-15 at 20:42 +0800, Vietor Liu wrote:
> >>     
> >>> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote:
> >>>       
> >>>> Dear all,
> >>>>
> >>>>     最近看很多媒体在疯狂地炒作“熊猫烧香”的作者，貌似作者想找个好公司工作
> >>>> （尤其想进入金山），但频遭杀软公司拒绝。
> >>>>
> >>>>         
> >>> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。
> >>>
> >>>       
> >>>>     我想了解一下，这种病毒到底有多少技术含量，听有些网友说熊猫烧香只是在
> >>>> 被人基础上加壳，没有太大技术含量。
> >>>>         
> >>> 主要是钻了AUTORUN.INF这种自启动的空子，当时还没有引起多少防范。
> >>> 曾经直接做SSDT的Hook来避免被杀的，而现在这一技术面临一个瓶颈：如果杀毒软
> >>> 件先进行了处理，病毒就没有机会了。除非采用了新的系统漏洞。
> >>>
> >>>       
> >>>>     按我的理解，计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
> >>>> 已，而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中，遇到特征相符
> >>>> 的进程或文件，再执行相应的查杀操作。
> >>>>     不知这种看法是否靠普？ 望达人科普一下。
> >>>>
> >>>>         
> >>> 静态查毒就是采用这种方式。
> >>> 动态防毒主要是通过驱动建立系统HOOK，来进行监控。这就是许多杀毒软件检查到
> >>> 什么都问一下你怎么处理，比如添加注册表添加自启动项。
> >>>
> >>> 由于AUTORUN.INF的传播方式被杀毒软件堵住了，现在基本上都直接使用GUI+，
> >>> IE、ADOBE相关的漏洞达到传播的目的（需要用户浏览带毒网页才行）。比较传统
> >>> 的，发送捆绑了病毒的软件也是存在的。
> >>>
> >>> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候，会有至少一个星期的
> >>> 时间让“爱好者”随便的寻找肉鸡，找到肉鸡之后直接放毒。
> >>>       
> >> 说实话，没用过MFC和Win API之类的东西，对Hook这个概念一直难于理解，呵呵。
> >>
> >> Thanks
> >>     
> > 倒钩 ;-)
> >   
> 经典。明白了。就是钓鱼吧？

钓鱼很有趣。
听说，可以放在一个游戏QQ群的共享里一个木马起一个“XX”外挂的名字就有人上
当，咳，人呢。

> > _______________________________________________
> > zeuux-universe mailing list
> > zeuux-universe在zeuux.org
> > http://www.zeuux.org/mailman/listinfo/zeuux-universe
> >
> > ZEUUX Project - Free Software, Free Society!
> > http://www.zeuux.org
> 
> 
> -- 
> Regards
>  
> Monnand
> Email: monnand在gmail.com
> GTalk: monnand在gmail.com
> 
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
> 
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org

> 说实话，没用过MFC和Win API之类的东西，对Hook这个概念一直难于理解，呵呵。

hook 技术并不是 windows/ms 特有的。

请搜索 linux hook ，会让你有更多了解。