2010年01月15日 星期五 19:37
Dear all, 最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作 (尤其想进入金山),但频遭杀软公司拒绝。 我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在 被人基础上加壳,没有太大技术含量。 按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符 的进程或文件,再执行相应的查杀操作。 不知这种看法是否靠普? 望达人科普一下。 B.R Thanks Kermit
2010年01月15日 星期五 20:42
On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote: > Dear all, > > 最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作 > (尤其想进入金山),但频遭杀软公司拒绝。 > 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。 > 我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在 > 被人基础上加壳,没有太大技术含量。 主要是钻了AUTORUN.INF这种自启动的空子,当时还没有引起多少防范。 曾经直接做SSDT的Hook来避免被杀的,而现在这一技术面临一个瓶颈:如果杀毒软 件先进行了处理,病毒就没有机会了。除非采用了新的系统漏洞。 > 按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而 > 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符 > 的进程或文件,再执行相应的查杀操作。 > 不知这种看法是否靠普? 望达人科普一下。 > 静态查毒就是采用这种方式。 动态防毒主要是通过驱动建立系统HOOK,来进行监控。这就是许多杀毒软件检查到 什么都问一下你怎么处理,比如添加注册表添加自启动项。 由于AUTORUN.INF的传播方式被杀毒软件堵住了,现在基本上都直接使用GUI+, IE、ADOBE相关的漏洞达到传播的目的(需要用户浏览带毒网页才行)。比较传统 的,发送捆绑了病毒的软件也是存在的。 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候,会有至少一个星期的 时间让“爱好者”随便的寻找肉鸡,找到肉鸡之后直接放毒。 > B.R > Thanks > Kermit > > _______________________________________________ > zeuux-universe mailing list > zeuux-universe在zeuux.org > http://www.zeuux.org/mailman/listinfo/zeuux-universe > > ZEUUX Project - Free Software, Free Society! > http://www.zeuux.org
2010年01月15日 星期五 21:42
2010/1/15 Vietor Liu <ml-wine在vxwo.org>: > On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote: >> Dear all, >> >> 最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作 >> (尤其想进入金山),但频遭杀软公司拒绝。 学武得先学武德,一个道理吧。 >> > > 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。 > >> 我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在 >> 被人基础上加壳,没有太大技术含量。 > > 主要是钻了AUTORUN.INF这种自启动的空子,当时还没有引起多少防范。 > 曾经直接做SSDT的Hook来避免被杀的,而现在这一技术面临一个瓶颈:如果杀毒软 > 件先进行了处理,病毒就没有机会了。除非采用了新的系统漏洞。 > >> 按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而 >> 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符 >> 的进程或文件,再执行相应的查杀操作。 >> 不知这种看法是否靠普? 望达人科普一下。 >> > > 静态查毒就是采用这种方式。 > 动态防毒主要是通过驱动建立系统HOOK,来进行监控。这就是许多杀毒软件检查到 > 什么都问一下你怎么处理,比如添加注册表添加自启动项。 > > 由于AUTORUN.INF的传播方式被杀毒软件堵住了,现在基本上都直接使用GUI+, > IE、ADOBE相关的漏洞达到传播的目的(需要用户浏览带毒网页才行)。比较传统 > 的,发送捆绑了病毒的软件也是存在的。 > > 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候,会有至少一个星期的 > 时间让“爱好者”随便的寻找肉鸡,找到肉鸡之后直接放毒。
2010年01月15日 星期五 22:16
杀毒这种工作,要政治可靠的。熊猫烧香作者这种有污点的估计以后很难进来了。 不过金山也不厚道,给人家发个“民间**”简直是侮辱人家 2010/1/15 Kermit Mei <kermit.mei在gmail.com>: > Dear all, > > 最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作 > (尤其想进入金山),但频遭杀软公司拒绝。 > > 我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在 > 被人基础上加壳,没有太大技术含量。 > 按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而 > 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符 > 的进程或文件,再执行相应的查杀操作。 > 不知这种看法是否靠普? 望达人科普一下。 > > B.R > Thanks > Kermit > > _______________________________________________ > zeuux-universe mailing list > zeuux-universe在zeuux.org > http://www.zeuux.org/mailman/listinfo/zeuux-universe > > ZEUUX Project - Free Software, Free Society! > http://www.zeuux.org -- Ren Xiaolei
2010年01月15日 星期五 23:32
On Fri, 2010-01-15 at 20:42 +0800, Vietor Liu wrote: > On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote: > > Dear all, > > > > 最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作 > > (尤其想进入金山),但频遭杀软公司拒绝。 > > > > 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。 > > > 我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在 > > 被人基础上加壳,没有太大技术含量。 > > 主要是钻了AUTORUN.INF这种自启动的空子,当时还没有引起多少防范。 > 曾经直接做SSDT的Hook来避免被杀的,而现在这一技术面临一个瓶颈:如果杀毒软 > 件先进行了处理,病毒就没有机会了。除非采用了新的系统漏洞。 > > > 按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而 > > 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符 > > 的进程或文件,再执行相应的查杀操作。 > > 不知这种看法是否靠普? 望达人科普一下。 > > > > 静态查毒就是采用这种方式。 > 动态防毒主要是通过驱动建立系统HOOK,来进行监控。这就是许多杀毒软件检查到 > 什么都问一下你怎么处理,比如添加注册表添加自启动项。 > > 由于AUTORUN.INF的传播方式被杀毒软件堵住了,现在基本上都直接使用GUI+, > IE、ADOBE相关的漏洞达到传播的目的(需要用户浏览带毒网页才行)。比较传统 > 的,发送捆绑了病毒的软件也是存在的。 > > 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候,会有至少一个星期的 > 时间让“爱好者”随便的寻找肉鸡,找到肉鸡之后直接放毒。 说实话,没用过MFC和Win API之类的东西,对Hook这个概念一直难于理解,呵呵。 Thanks
2010年01月15日 星期五 23:35
2010/1/16 Kermit Mei <kermit.mei在gmail.com>: > On Fri, 2010-01-15 at 20:42 +0800, Vietor Liu wrote: >> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote: >> > Dear all, >> > >> > 最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作 >> > (尤其想进入金山),但频遭杀软公司拒绝。 >> > >> >> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。 >> >> > 我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在 >> > 被人基础上加壳,没有太大技术含量。 >> >> 主要是钻了AUTORUN.INF这种自启动的空子,当时还没有引起多少防范。 >> 曾经直接做SSDT的Hook来避免被杀的,而现在这一技术面临一个瓶颈:如果杀毒软 >> 件先进行了处理,病毒就没有机会了。除非采用了新的系统漏洞。 >> >> > 按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而 >> > 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符 >> > 的进程或文件,再执行相应的查杀操作。 >> > 不知这种看法是否靠普? 望达人科普一下。 >> > >> >> 静态查毒就是采用这种方式。 >> 动态防毒主要是通过驱动建立系统HOOK,来进行监控。这就是许多杀毒软件检查到 >> 什么都问一下你怎么处理,比如添加注册表添加自启动项。 >> >> 由于AUTORUN.INF的传播方式被杀毒软件堵住了,现在基本上都直接使用GUI+, >> IE、ADOBE相关的漏洞达到传播的目的(需要用户浏览带毒网页才行)。比较传统 >> 的,发送捆绑了病毒的软件也是存在的。 >> >> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候,会有至少一个星期的 >> 时间让“爱好者”随便的寻找肉鸡,找到肉鸡之后直接放毒。 > > 说实话,没用过MFC和Win API之类的东西,对Hook这个概念一直难于理解,呵呵。 > > Thanks 倒钩 ;-)
2010年01月16日 星期六 02:40
Sutra Zhou 写道: > 2010/1/16 Kermit Mei <kermit.mei在gmail.com>: > >> On Fri, 2010-01-15 at 20:42 +0800, Vietor Liu wrote: >> >>> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote: >>> >>>> Dear all, >>>> >>>> 最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作 >>>> (尤其想进入金山),但频遭杀软公司拒绝。 >>>> >>>> >>> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。 >>> >>> >>>> 我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在 >>>> 被人基础上加壳,没有太大技术含量。 >>>> >>> 主要是钻了AUTORUN.INF这种自启动的空子,当时还没有引起多少防范。 >>> 曾经直接做SSDT的Hook来避免被杀的,而现在这一技术面临一个瓶颈:如果杀毒软 >>> 件先进行了处理,病毒就没有机会了。除非采用了新的系统漏洞。 >>> >>> >>>> 按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而 >>>> 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符 >>>> 的进程或文件,再执行相应的查杀操作。 >>>> 不知这种看法是否靠普? 望达人科普一下。 >>>> >>>> >>> 静态查毒就是采用这种方式。 >>> 动态防毒主要是通过驱动建立系统HOOK,来进行监控。这就是许多杀毒软件检查到 >>> 什么都问一下你怎么处理,比如添加注册表添加自启动项。 >>> >>> 由于AUTORUN.INF的传播方式被杀毒软件堵住了,现在基本上都直接使用GUI+, >>> IE、ADOBE相关的漏洞达到传播的目的(需要用户浏览带毒网页才行)。比较传统 >>> 的,发送捆绑了病毒的软件也是存在的。 >>> >>> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候,会有至少一个星期的 >>> 时间让“爱好者”随便的寻找肉鸡,找到肉鸡之后直接放毒。 >>> >> 说实话,没用过MFC和Win API之类的东西,对Hook这个概念一直难于理解,呵呵。 >> >> Thanks >> > 倒钩 ;-) > 经典。明白了。就是钓鱼吧? > _______________________________________________ > zeuux-universe mailing list > zeuux-universe在zeuux.org > http://www.zeuux.org/mailman/listinfo/zeuux-universe > > ZEUUX Project - Free Software, Free Society! > http://www.zeuux.org -- Regards Monnand Email: monnand在gmail.com GTalk: monnand在gmail.com
2010年01月16日 星期六 19:54
On Fri, 2010-01-15 at 13:40 -0500, monnand wrote: > Sutra Zhou 写道: > > 2010/1/16 Kermit Mei <kermit.mei在gmail.com>: > > > >> On Fri, 2010-01-15 at 20:42 +0800, Vietor Liu wrote: > >> > >>> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote: > >>> > >>>> Dear all, > >>>> > >>>> 最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作 > >>>> (尤其想进入金山),但频遭杀软公司拒绝。 > >>>> > >>>> > >>> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。 > >>> > >>> > >>>> 我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在 > >>>> 被人基础上加壳,没有太大技术含量。 > >>>> > >>> 主要是钻了AUTORUN.INF这种自启动的空子,当时还没有引起多少防范。 > >>> 曾经直接做SSDT的Hook来避免被杀的,而现在这一技术面临一个瓶颈:如果杀毒软 > >>> 件先进行了处理,病毒就没有机会了。除非采用了新的系统漏洞。 > >>> > >>> > >>>> 按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而 > >>>> 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符 > >>>> 的进程或文件,再执行相应的查杀操作。 > >>>> 不知这种看法是否靠普? 望达人科普一下。 > >>>> > >>>> > >>> 静态查毒就是采用这种方式。 > >>> 动态防毒主要是通过驱动建立系统HOOK,来进行监控。这就是许多杀毒软件检查到 > >>> 什么都问一下你怎么处理,比如添加注册表添加自启动项。 > >>> > >>> 由于AUTORUN.INF的传播方式被杀毒软件堵住了,现在基本上都直接使用GUI+, > >>> IE、ADOBE相关的漏洞达到传播的目的(需要用户浏览带毒网页才行)。比较传统 > >>> 的,发送捆绑了病毒的软件也是存在的。 > >>> > >>> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候,会有至少一个星期的 > >>> 时间让“爱好者”随便的寻找肉鸡,找到肉鸡之后直接放毒。 > >>> > >> 说实话,没用过MFC和Win API之类的东西,对Hook这个概念一直难于理解,呵呵。 > >> > >> Thanks > >> > > 倒钩 ;-) > > > 经典。明白了。就是钓鱼吧? 钓鱼很有趣。 听说,可以放在一个游戏QQ群的共享里一个木马起一个“XX”外挂的名字就有人上 当,咳,人呢。 > > _______________________________________________ > > zeuux-universe mailing list > > zeuux-universe在zeuux.org > > http://www.zeuux.org/mailman/listinfo/zeuux-universe > > > > ZEUUX Project - Free Software, Free Society! > > http://www.zeuux.org > > > -- > Regards > > Monnand > Email: monnand在gmail.com > GTalk: monnand在gmail.com > > _______________________________________________ > zeuux-universe mailing list > zeuux-universe在zeuux.org > http://www.zeuux.org/mailman/listinfo/zeuux-universe > > ZEUUX Project - Free Software, Free Society! > http://www.zeuux.org
2010年01月18日 星期一 09:40
> 说实话,没用过MFC和Win API之类的东西,对Hook这个概念一直难于理解,呵呵。 hook 技术并不是 windows/ms 特有的。 请搜索 linux hook ,会让你有更多了解。
Zeuux © 2024
京ICP备05028076号