zeuux-universe  - 讨论区

标题:[zeuux-universe] 请教一些计算机病毒知识

2010年01月15日 星期五 19:37

Kermit Mei kermit.mei在gmail.com
星期五 一月 15 19:37:04 CST 2010

Dear all,

    最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作
(尤其想进入金山),但频遭杀软公司拒绝。

    我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在
被人基础上加壳,没有太大技术含量。
    按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符
的进程或文件,再执行相应的查杀操作。
    不知这种看法是否靠普? 望达人科普一下。

B.R
Thanks
Kermit


[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2010年01月15日 星期五 20:42

Vietor Liu ml-wine在vxwo.org
星期五 一月 15 20:42:53 CST 2010

On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote:
> Dear all,
> 
>     最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作
> (尤其想进入金山),但频遭杀软公司拒绝。
> 

当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。

>     我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在
> 被人基础上加壳,没有太大技术含量。

主要是钻了AUTORUN.INF这种自启动的空子,当时还没有引起多少防范。
曾经直接做SSDT的Hook来避免被杀的,而现在这一技术面临一个瓶颈:如果杀毒软
件先进行了处理,病毒就没有机会了。除非采用了新的系统漏洞。

>     按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
> 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符
> 的进程或文件,再执行相应的查杀操作。
>     不知这种看法是否靠普? 望达人科普一下。
> 

静态查毒就是采用这种方式。
动态防毒主要是通过驱动建立系统HOOK,来进行监控。这就是许多杀毒软件检查到
什么都问一下你怎么处理,比如添加注册表添加自启动项。

由于AUTORUN.INF的传播方式被杀毒软件堵住了,现在基本上都直接使用GUI+,
IE、ADOBE相关的漏洞达到传播的目的(需要用户浏览带毒网页才行)。比较传统
的,发送捆绑了病毒的软件也是存在的。

类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候,会有至少一个星期的
时间让“爱好者”随便的寻找肉鸡,找到肉鸡之后直接放毒。

> B.R
> Thanks
> Kermit
> 
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
> 
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org



[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2010年01月15日 星期五 21:42

Sutra Zhou zhoushuqun在gmail.com
星期五 一月 15 21:42:40 CST 2010

2010/1/15 Vietor Liu <ml-wine在vxwo.org>:
> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote:
>> Dear all,
>>
>>     最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作
>> (尤其想进入金山),但频遭杀软公司拒绝。
学武得先学武德,一个道理吧。
>>
>
> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。
>
>>     我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在
>> 被人基础上加壳,没有太大技术含量。
>
> 主要是钻了AUTORUN.INF这种自启动的空子,当时还没有引起多少防范。
> 曾经直接做SSDT的Hook来避免被杀的,而现在这一技术面临一个瓶颈:如果杀毒软
> 件先进行了处理,病毒就没有机会了。除非采用了新的系统漏洞。
>
>>     按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
>> 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符
>> 的进程或文件,再执行相应的查杀操作。
>>     不知这种看法是否靠普? 望达人科普一下。
>>
>
> 静态查毒就是采用这种方式。
> 动态防毒主要是通过驱动建立系统HOOK,来进行监控。这就是许多杀毒软件检查到
> 什么都问一下你怎么处理,比如添加注册表添加自启动项。
>
> 由于AUTORUN.INF的传播方式被杀毒软件堵住了,现在基本上都直接使用GUI+,
> IE、ADOBE相关的漏洞达到传播的目的(需要用户浏览带毒网页才行)。比较传统
> 的,发送捆绑了病毒的软件也是存在的。
>
> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候,会有至少一个星期的
> 时间让“爱好者”随便的寻找肉鸡,找到肉鸡之后直接放毒。

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2010年01月15日 星期五 22:16

任晓磊 julyclyde在gmail.com
星期五 一月 15 22:16:33 CST 2010

杀毒这种工作,要政治可靠的。熊猫烧香作者这种有污点的估计以后很难进来了。
不过金山也不厚道,给人家发个“民间**”简直是侮辱人家

2010/1/15 Kermit Mei <kermit.mei在gmail.com>:
> Dear all,
>
>    最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作
> (尤其想进入金山),但频遭杀软公司拒绝。
>
>    我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在
> 被人基础上加壳,没有太大技术含量。
>    按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
> 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符
> 的进程或文件,再执行相应的查杀操作。
>    不知这种看法是否靠普? 望达人科普一下。
>
> B.R
> Thanks
> Kermit
>
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org



-- 
Ren Xiaolei

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2010年01月15日 星期五 23:32

Kermit Mei kermit.mei在gmail.com
星期五 一月 15 23:32:00 CST 2010

On Fri, 2010-01-15 at 20:42 +0800, Vietor Liu wrote:
> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote:
> > Dear all,
> > 
> >     最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作
> > (尤其想进入金山),但频遭杀软公司拒绝。
> > 
> 
> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。
> 
> >     我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在
> > 被人基础上加壳,没有太大技术含量。
> 
> 主要是钻了AUTORUN.INF这种自启动的空子,当时还没有引起多少防范。
> 曾经直接做SSDT的Hook来避免被杀的,而现在这一技术面临一个瓶颈:如果杀毒软
> 件先进行了处理,病毒就没有机会了。除非采用了新的系统漏洞。
> 
> >     按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
> > 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符
> > 的进程或文件,再执行相应的查杀操作。
> >     不知这种看法是否靠普? 望达人科普一下。
> > 
> 
> 静态查毒就是采用这种方式。
> 动态防毒主要是通过驱动建立系统HOOK,来进行监控。这就是许多杀毒软件检查到
> 什么都问一下你怎么处理,比如添加注册表添加自启动项。
> 
> 由于AUTORUN.INF的传播方式被杀毒软件堵住了,现在基本上都直接使用GUI+,
> IE、ADOBE相关的漏洞达到传播的目的(需要用户浏览带毒网页才行)。比较传统
> 的,发送捆绑了病毒的软件也是存在的。
> 
> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候,会有至少一个星期的
> 时间让“爱好者”随便的寻找肉鸡,找到肉鸡之后直接放毒。

说实话,没用过MFC和Win API之类的东西,对Hook这个概念一直难于理解,呵呵。

Thanks



[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2010年01月15日 星期五 23:35

Sutra Zhou zhoushuqun在gmail.com
星期五 一月 15 23:35:20 CST 2010

2010/1/16 Kermit Mei <kermit.mei在gmail.com>:
> On Fri, 2010-01-15 at 20:42 +0800, Vietor Liu wrote:
>> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote:
>> > Dear all,
>> >
>> >     最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作
>> > (尤其想进入金山),但频遭杀软公司拒绝。
>> >
>>
>> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。
>>
>> >     我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在
>> > 被人基础上加壳,没有太大技术含量。
>>
>> 主要是钻了AUTORUN.INF这种自启动的空子,当时还没有引起多少防范。
>> 曾经直接做SSDT的Hook来避免被杀的,而现在这一技术面临一个瓶颈:如果杀毒软
>> 件先进行了处理,病毒就没有机会了。除非采用了新的系统漏洞。
>>
>> >     按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
>> > 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符
>> > 的进程或文件,再执行相应的查杀操作。
>> >     不知这种看法是否靠普? 望达人科普一下。
>> >
>>
>> 静态查毒就是采用这种方式。
>> 动态防毒主要是通过驱动建立系统HOOK,来进行监控。这就是许多杀毒软件检查到
>> 什么都问一下你怎么处理,比如添加注册表添加自启动项。
>>
>> 由于AUTORUN.INF的传播方式被杀毒软件堵住了,现在基本上都直接使用GUI+,
>> IE、ADOBE相关的漏洞达到传播的目的(需要用户浏览带毒网页才行)。比较传统
>> 的,发送捆绑了病毒的软件也是存在的。
>>
>> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候,会有至少一个星期的
>> 时间让“爱好者”随便的寻找肉鸡,找到肉鸡之后直接放毒。
>
> 说实话,没用过MFC和Win API之类的东西,对Hook这个概念一直难于理解,呵呵。
>
> Thanks
倒钩 ;-)

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2010年01月16日 星期六 02:40

monnand monnand.deng在gmail.com
星期六 一月 16 02:40:56 CST 2010

Sutra Zhou 写道:
> 2010/1/16 Kermit Mei <kermit.mei在gmail.com>:
>   
>> On Fri, 2010-01-15 at 20:42 +0800, Vietor Liu wrote:
>>     
>>> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote:
>>>       
>>>> Dear all,
>>>>
>>>>     最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作
>>>> (尤其想进入金山),但频遭杀软公司拒绝。
>>>>
>>>>         
>>> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。
>>>
>>>       
>>>>     我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在
>>>> 被人基础上加壳,没有太大技术含量。
>>>>         
>>> 主要是钻了AUTORUN.INF这种自启动的空子,当时还没有引起多少防范。
>>> 曾经直接做SSDT的Hook来避免被杀的,而现在这一技术面临一个瓶颈:如果杀毒软
>>> 件先进行了处理,病毒就没有机会了。除非采用了新的系统漏洞。
>>>
>>>       
>>>>     按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
>>>> 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符
>>>> 的进程或文件,再执行相应的查杀操作。
>>>>     不知这种看法是否靠普? 望达人科普一下。
>>>>
>>>>         
>>> 静态查毒就是采用这种方式。
>>> 动态防毒主要是通过驱动建立系统HOOK,来进行监控。这就是许多杀毒软件检查到
>>> 什么都问一下你怎么处理,比如添加注册表添加自启动项。
>>>
>>> 由于AUTORUN.INF的传播方式被杀毒软件堵住了,现在基本上都直接使用GUI+,
>>> IE、ADOBE相关的漏洞达到传播的目的(需要用户浏览带毒网页才行)。比较传统
>>> 的,发送捆绑了病毒的软件也是存在的。
>>>
>>> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候,会有至少一个星期的
>>> 时间让“爱好者”随便的寻找肉鸡,找到肉鸡之后直接放毒。
>>>       
>> 说实话,没用过MFC和Win API之类的东西,对Hook这个概念一直难于理解,呵呵。
>>
>> Thanks
>>     
> 倒钩 ;-)
>   
经典。明白了。就是钓鱼吧?
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org


-- 
Regards
 
Monnand
Email: monnand在gmail.com
GTalk: monnand在gmail.com


[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2010年01月16日 星期六 19:54

Vietor Liu ml-wine在vxwo.org
星期六 一月 16 19:54:06 CST 2010

On Fri, 2010-01-15 at 13:40 -0500, monnand wrote:
> Sutra Zhou 写道:
> > 2010/1/16 Kermit Mei <kermit.mei在gmail.com>:
> >   
> >> On Fri, 2010-01-15 at 20:42 +0800, Vietor Liu wrote:
> >>     
> >>> On Fri, 2010-01-15 at 04:37 -0700, Kermit Mei wrote:
> >>>       
> >>>> Dear all,
> >>>>
> >>>>     最近看很多媒体在疯狂地炒作“熊猫烧香”的作者,貌似作者想找个好公司工作
> >>>> (尤其想进入金山),但频遭杀软公司拒绝。
> >>>>
> >>>>         
> >>> 当时的技术到现在已经过时了。现在的病毒和木马几乎不分家了。
> >>>
> >>>       
> >>>>     我想了解一下,这种病毒到底有多少技术含量,听有些网友说熊猫烧香只是在
> >>>> 被人基础上加壳,没有太大技术含量。
> >>>>         
> >>> 主要是钻了AUTORUN.INF这种自启动的空子,当时还没有引起多少防范。
> >>> 曾经直接做SSDT的Hook来避免被杀的,而现在这一技术面临一个瓶颈:如果杀毒软
> >>> 件先进行了处理,病毒就没有机会了。除非采用了新的系统漏洞。
> >>>
> >>>       
> >>>>     按我的理解,计算机病毒最根本的原理应当只是利用了系统或者软件的漏洞而
> >>>> 已,而杀毒软件的原理貌似就是把病毒的一些特征放到了数据库中,遇到特征相符
> >>>> 的进程或文件,再执行相应的查杀操作。
> >>>>     不知这种看法是否靠普? 望达人科普一下。
> >>>>
> >>>>         
> >>> 静态查毒就是采用这种方式。
> >>> 动态防毒主要是通过驱动建立系统HOOK,来进行监控。这就是许多杀毒软件检查到
> >>> 什么都问一下你怎么处理,比如添加注册表添加自启动项。
> >>>
> >>> 由于AUTORUN.INF的传播方式被杀毒软件堵住了,现在基本上都直接使用GUI+,
> >>> IE、ADOBE相关的漏洞达到传播的目的(需要用户浏览带毒网页才行)。比较传统
> >>> 的,发送捆绑了病毒的软件也是存在的。
> >>>
> >>> 类似冲击波、3389抓鸡、ARP相关的漏洞及工具出现的时候,会有至少一个星期的
> >>> 时间让“爱好者”随便的寻找肉鸡,找到肉鸡之后直接放毒。
> >>>       
> >> 说实话,没用过MFC和Win API之类的东西,对Hook这个概念一直难于理解,呵呵。
> >>
> >> Thanks
> >>     
> > 倒钩 ;-)
> >   
> 经典。明白了。就是钓鱼吧?

钓鱼很有趣。
听说,可以放在一个游戏QQ群的共享里一个木马起一个“XX”外挂的名字就有人上
当,咳,人呢。

> > _______________________________________________
> > zeuux-universe mailing list
> > zeuux-universe在zeuux.org
> > http://www.zeuux.org/mailman/listinfo/zeuux-universe
> >
> > ZEUUX Project - Free Software, Free Society!
> > http://www.zeuux.org
> 
> 
> -- 
> Regards
>  
> Monnand
> Email: monnand在gmail.com
> GTalk: monnand在gmail.com
> 
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
> 
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org



[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2010年01月18日 星期一 09:40

pan shizhu pan.shizhu在gmail.com
星期一 一月 18 09:40:46 CST 2010

> 说实话,没用过MFC和Win API之类的东西,对Hook这个概念一直难于理解,呵呵。

hook 技术并不是 windows/ms 特有的。

请搜索 linux hook ,会让你有更多了解。

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

如下红色区域有误,请重新填写。

    你的回复:

    请 登录 后回复。还没有在Zeuux哲思注册吗?现在 注册 !

    Zeuux © 2024

    京ICP备05028076号