殺毒需要利劍在手

gao0907

殺毒需要利劍在手
放眼Internet，天光云影遠(yuǎn)山清渠，心氣怡爽美不勝收！如果你陶醉這片美景，那就大錯(cuò)特錯(cuò)了。美景之下實(shí)則激流暗涌，掛馬盜號(hào)放病毒……黑色產(chǎn)業(yè)的猖獗，危險(xiǎn)就在身邊。步步小心可以求得自保嗎？很遺憾，前幾天俺還聽(tīng)說(shuō)XX高人氣網(wǎng)站被掛馬。逃不掉的，因?yàn)椴《緯?huì)來(lái)找你--有電腦就有Internet，有internet就有江湖。
    Internet就是江湖，你怎么退出？既然無(wú)法逃避，那就只能勇于抗?fàn)幜恕Ｄ闷鹗种械膭Γ瑑?nèi)外雙修，不求斬盡天下毒寇，但求笑傲于江湖。

覓劍篇----行千里，尋龍淵
    欲做豪杰則必?fù)窳紕Γ�欲泛舟于毒海且不驚起半點(diǎn)微漾，不但要內(nèi)外雙修，擇劍也很重要(當(dāng)然，如果已經(jīng)到了那種手中無(wú)劍心中也無(wú)劍的境界那就另當(dāng)別論了)。
    傳說(shuō)歐冶子鑄龍淵，得鐵英于茨山，尋寒泉于龍泉，覓亮石于溪山。鐵英鑄坯，寒泉淬火，亮石磨劍。雖然說(shuō)現(xiàn)在大大小小的“鐵匠鋪”不少，但有能力打造出上等寶劍的，國(guó)內(nèi)也就那么幾家。
    上好的鐵英----鑄坯，這個(gè)最關(guān)鍵，直接決定最終的殺毒能力。反病毒是一個(gè)長(zhǎng)期經(jīng)驗(yàn)積累的過(guò)程，沒(méi)有長(zhǎng)期的積累，怎么可能積淀出上好的鐵英？
    上等的寒泉----淬火，不夠上等淬不出剛?cè)嵯酀?jì)的劍身，而且淬得要恰到好處。淬快了，劍身太脆易折，淬慢了又會(huì)過(guò)于柔軟，易卷刃，折了身或者卷了刃都不能殺毒。正如當(dāng)前殺軟的趨勢(shì)，多是在以特征碼判斷的基礎(chǔ)上加上一定的啟發(fā)式，前者正如剛性，后者正如柔性，誰(shuí)多了誰(shuí)少了都不行。
    上佳的亮石----磨劍，不夠上佳磨礪不出寒意徹骨的劍刃，似冒水氣、血不沾鋒的刃，不但讓整個(gè)劍身都起到震撼效果，而且其華麗外表的背后其實(shí)深藏著削鐵如泥的內(nèi)在；正如好的殺軟要有人性化的界面，但快捷操作的背后實(shí)際都是為了最快的斬殺病毒。
    還傳說(shuō)當(dāng)年歐冶子總共煉出三把寶劍----龍淵，泰阿，工布，三者都是上好鐵英、上等寒泉、上佳亮石鑄得絕世名劍，為何偏偏要選龍淵呢？呵呵，沒(méi)有為何，選龍淵而非泰阿工布，無(wú)需任何理由。

習(xí)劍篇----劍在手
    劍客有四重境----下乘者以力使劍；中乘者以氣使劍；上乘者以意使劍；大成者手中無(wú)劍心中也無(wú)劍，草木竹石皆可為劍。
    以力使劍，一招一式，人是人，劍是劍，招式無(wú)幻化，但若劍是好劍，招式正宗，效果卻也還不錯(cuò)，不妨用江湖老毒物灰鴿子來(lái)小試龍淵。
    下面就是KV2008查殺灰鴿子2007的截圖。灰鴿子2007是比較邪惡的，使用用戶態(tài)API掛鉤隱藏了文件、系統(tǒng)服務(wù)和進(jìn)程，如果自己的反病毒經(jīng)驗(yàn)不是很豐富，就應(yīng)該老老實(shí)實(shí)的遵從招式譜，F(xiàn)8啟動(dòng)到安全模式，然后使用KV2008進(jìn)行全盤(pán)查殺。記住這里一定要進(jìn)入安全模式，否則因?yàn)閽煦^的問(wèn)題，在正常模式下反病毒軟件遍歷全盤(pán)的時(shí)候會(huì)把灰鴿子漏掉。

中乘者以氣使劍，這層境界中，已經(jīng)不需要一板一眼的招式了，講究呼吸吐納盡自如。遇到一個(gè)病毒都是重啟安全模式然后全盤(pán)掃，多麻煩啊。中乘者能夠呼吸吐納盡自如，目的就是為了最大限度的釋放潛能。這一次我們不全盤(pán)掃描試試。還是上鴿子，還是灰鴿子2007，不過(guò)這只鴿子比上一只更惡毒，使用了進(jìn)程內(nèi)存替換技術(shù)把IE的外殼套在自己身上了，而且還是隱藏進(jìn)程的。通常情況下，Windows自帶的進(jìn)程管理器中根本看不到(因?yàn)闊o(wú)恥的掛鉤ntdll.dll導(dǎo)出NtQuerySystemInformation)，而KV2008的進(jìn)程管理器已經(jīng)告訴我們它是隱藏的，但是因?yàn)檫M(jìn)程內(nèi)存替換，KV2008依舊標(biāo)記該進(jìn)程為安全。不過(guò)劍是死的，人確實(shí)活的，你感覺(jué)到殺氣了嗎？呼吸吐納煉到一定程度，就會(huì)有一種對(duì)危險(xiǎn)的直覺(jué)，直覺(jué)告訴我們，這個(gè)IE不可靠。
    怎么辦呢？別慌張，先趕緊把這個(gè)進(jìn)程結(jié)束，然后再用KV2008掃描C:盤(pán)，不過(guò)沒(méi)有必要重啟去安全模式了，因?yàn)榛银澴拥倪M(jìn)程已經(jīng)被我們結(jié)束。掃描的截圖就沒(méi)必要再貼了，效果和上面不會(huì)差太多。
    是不是有點(diǎn)搞笑啊？就用了個(gè)KV的隱藏進(jìn)程查看器就能算中乘者了？先不要忙著冷場(chǎng)，越往上，越需要強(qiáng)調(diào)自身的修為，龍淵雖利，但劍藝的高下取決于人。如果你知道API HOOK，灰鴿子那點(diǎn)雕蟲(chóng)小技又算得了什么呢？無(wú)非就是對(duì)用戶態(tài)的那幾條API來(lái)HOOK來(lái)HOOK去，HOOK NtQuerySystemInformation來(lái)隱藏進(jìn)程，HOOK EnumServicesStatusEx來(lái)隱藏服務(wù)，HOOK NtTerminateProcess來(lái)防止進(jìn)程被結(jié)束，HOOK……無(wú)聊的東西，HOOK庫(kù)還是A的maghooks的。你知道它是如何來(lái)實(shí)現(xiàn)的障眼法，如何來(lái)破壞的，龍淵在手則可威力倍增，不光僅僅局限于灰鴿子哦。
    廢話一點(diǎn)：
    KV2008的隱藏進(jìn)程檢測(cè)是做的比較狠的，單純基于HOOK的隱藏技術(shù)已經(jīng)逃不過(guò)KV的進(jìn)程檢測(cè)，無(wú)論是在用戶態(tài)還是在內(nèi)核態(tài)，即使是在內(nèi)核態(tài)那些一般的內(nèi)核內(nèi)存涂改也逃不過(guò)去，比如斷活動(dòng)進(jìn)程鏈等。

愛(ài)的秋天

不用江民，江民更新病毒庫(kù)很慢，殺毒也不行

查出來(lái)槍斃

江民也敢自稱利刃？太搞笑了吧。。。

再回首

強(qiáng)呀

不,強(qiáng)呀

不汗都不行呀

林實(shí)真君

此帖會(huì)火