windows主动防御多种实现思路

最新推荐文章于 2020-08-16 00:05:39 发布
最新推荐文章于 2020-08-16 00:05:39 发布
阅读量376 收藏 1
点赞数
原文链接:http://blog.51cto.com/haidragon/2357972
版权

思路1 堵进程方式 就是不管什么先给你挂起来 然后再交给用户是否放行
思路2 事件方式 用户投俩个事件下去 然后用户开个线程 等待驱动去设置那个事件
驱动同样开线程等待用户去设置另外一个事件
https://blog.csdn.net/sonsie007/article/details/38356961
https://www.write-bug.com/article/1550.html
思路 1 2案例:
https://github.com/haidragon/InitiativeDefense
思路3 堵irp方式 附加驱动 先返回一个挂起状态 保存到一个链表里 后面再调用IoCompleteRequest 参数取决于用户是否放行 
思路3案例
windows主动防御多种实现思路

转载于:https://blog.51cto.com/haidragon/2357972

weixin_34199405
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
主动防御 源码
08-24
主动防御 源码
通过模拟鼠标点击实现突破主动防御
03-04
对计算机的敏感操作如加载驱动或者修改注册表,瑞星主动防御就会启动,并弹出对话框与用户进行交互。通过模拟鼠标点击的方法,在弹出对话框的时候,模拟鼠标点击“运行”,从而实现突破主动防御
Windows驱动级云安全主动防御系统
demongwc的博客
07-23 738
1 使用说明 本系统分成四个模块,包含一个应用层可执行文件(.exe),四个内核层驱动(.sys),一个规则库数据库文件(.mdb),请保证六个文件在同一目录。 1.1 安装服务与启动监控 程序不需要安装,双击即可打开可执行文件。打开后,如果需要启动服务,请点击“安装服务”,请切换至“主要”标签页,接着“启动进程监控”、“启动注册表监控”、“启动文件监控”、“启动内存加载监控”,程序开始拦截...
主动防御型杀毒软件的技术探讨
weixin_33889665的博客
03-29 91
 间谍程序、游戏***、***程序等网络病毒的频频爆发,使国内外反病毒领域开始意识到,单纯依靠“特征码技术”已经不能适应反病毒需求。   那么什么是“主动防御”,它的实现技术又是怎样的呢?本人在这里简单献丑一下,说得不对的地方欢迎扔鞋砸鸡蛋!   所谓“主动防御”,就是全程监视进程的行为,一但发现“违规”行为,就通知用户,或者直接终止进程。它类似于警察判断潜在罪犯的技术,在...
微点“主动防御”的科学定义与原理是什么?
rampart的专栏
12-15 1179
   发贴真难啊,新版csdn超慢!刚试用了一下,初看微点界面很专业,没有计算机基础人用起来可能要费些事。其实很早以前就听说过了,当时以为是概念炒作,使我想起了DOS时代的“行天98”,当时这个作者也是有几篇论文的研究成果国际前沿或领先的,而且也有产品。不知怎的,还是kv300盖了风头(当时的营销与技术情况就不多说了吧。)CIH爆发后,很多人跑去买RAV,因为信源有“防火墙”,而其它国内的都没有,
瑞星2008主动防御技术分析
08-15 1645
看到瑞星2008发布了所谓”超越传统HIPS”、“监控功能比传统HIPS的更全面"的功能,当时为之震惊,难道国产杀毒软件终于开发出了强大的HIPS功能了?立刻下了测试版安装,打算进行测试。起初考虑,发布文章中说得如此强大的主动防御技术,是不是需要逆向分析才能清楚呢?可惜,事实告诉我们,灰盒就够了。使用Rootkit Unhooker/Gmer工具对安装瑞星2008的机器进行扫描即可得出瑞星的保护究
AVP.rar_主动防御
09-24
卡巴主动防御中检测隐藏进程的方法卡巴主动中检测隐藏进程的主动方法
探析网络主动防御系统的设计与实现
01-27
针对网络边界防护机制存在的问题,分析防火墙、入侵检测系统和蜜罐技术的网络安全防御性能,通过设计外防火墙、入侵检测系统、蜜罐系统、路由设定及内防火墙等网络安全联动防御系统,构建安全防线。经实验证明,该...
企业级Web服务器安全主动防御措施
01-20
为了彻底提高Web服务器的安全,笔者认为,Web安全要主动出击。具体的来说,需要做到如下几点。  一、在代码编写时要进行漏洞测试  现在的企业网站做的越来越复杂、功能越来越强。不过这些都不是凭空而来的,是...
WindowsServer2008下的安全防御
滴水成河,汇流成海
03-14 949
 1、让系统处于数据执行保护中  与传统操作系统一样,Windows Server 2008系统仍然内置了数据执行保护功能,以便预防网络病毒或其他安全攻击对服务器系统造成威胁;然而,很多朋友发现该功能时常会破坏某些应用程序的运行稳定性,于是自作主张地将系统自带的数据执行保护功能关闭了,那样一来服务器系统遭遇网络病毒袭击的可能性自然也就增大了。其实,在Windows Server 2008服务器系统
卓然驱动级云安全主动防御系统
06-12
金山卫士开源了,不过有关黑客攻防的部分仍然处于闭源状态,主动防御在驱动级如何实现,学习卓然驱动级主动防御系统源代码可以揭开这一迷惑
卓然主动防御模块源码,VC 驱动级云安全实例.rar
07-09
卓然主动防御系统分成四个模块,包含一个应用层可执行文件(.exe),四个内核层驱动(.sys),一个规则库数据库文件(.mdb),请保证六个文件在同一目录。应用层采用Visual Studio 2008(C )开发,驱动层开发环境为WDK 6001.18002、Notepad ,测试环境为VMware 6.0、Windows Xp Sp3。 开发目的 系统特性: 一. 使用RootiKit技术,精确拦截木马,曝光恶意行为 二. 提供详细行为描述信息,帮助用户判断 三. 云安全概念融入,精确判断文件安全级别 四. 支持白名单、黑名单,引入云规则,减少提醒 五. 多模块相互配合,将木马及其衍生物一网打尽 系统原理: 一. Hook SSDT 二.监视进程创建和销毁原理 三.监视注册表修改/创建原理 三.监视文件修改/创建原理 四.内存映射监控原理 五.云安全模块原理 六.规则动态加载原理 在云安全模块开启的情况下,本系统会自己向服务器验证加载进入内存的文件信息,与其它模块相互配合,可将病毒及期衍生物一网打荆 在 Windows NT 下,用户模式(User mode)的所有调用,如Kernel32.dll,User32.dll, Advapi32.dll等提供的API,最终都封装在Ntdll.dll中,然后通过Int 2E或SYSENTER进入到内核模式,通过服务ID,在System Service Dispatcher Table中分派系统函数。这些本地系统服务的地址在内核结构中称为系统服务调度表(System Service Dispatch Table,SSDT)中列出,该表可以基于系统调用编号进行索引,以便定位函数的内存地址。下图是Windows NT系列操作系统的体系结构,系统服务调用只是一个接口,它提供了将用户模式下的请求转发到Windows 2000内核的功能,并引发处理器模式的切换。在用户看来,系统服务调用接口就是Windows内核组件功能实现对外的一个界面。系统服务调用接口定义了Windows内核提供的大量服务。
系统注册表,进程启动,驱动加载,过主动防御源代
11-13
一个实现系统注册表,进程启动和驱动加载的主动防御源代
所谓主动防御
老吴的博客
01-11 448
所谓主动防御应该是跟随系统一起启动的,而“火”却跟其他杀软一样,待其他的应用软件启动以后才启动,如果木马病毒比他先启动,那么“火”势必就监测不到,如果是专门针对“火”的,那么“火”不就老早被干掉了!
炎刃主动防御系统
Cn-kevin的窝
12-21 143
标 题: 【原创】炎刃主动防御系统 作 者: cn_kevin时 间: 2010-12-21 blog : http://cn-kevin.iteye.com       最近有时间研究了下驱动,就想写个简单的主动防御系统练练手,其实驱动程序跟其他程序一样,并不是非常复杂,而且相当来说还比较简单且容易理解,主要是微软不公开内核函数的文档,内核层异常就会出现华丽的蓝屏保护,造成了驱动编程难的...
windows主动防御视频教程
09-07
本套视频教程主要讲windows主动防御视频教程,从windows驱动开发基础到windows的rootkit开发最后到rootkit的检测一步步带领大家从0开始学习windows的rootkit对抗,技术内容主要讲的是各大安全厂商的安全产品底里核心技术,模仿windows上的杀软(ARK)技术展开,如进程模块注入、隐藏、检测等,还重点讲了虚拟化vt、ept等技术,从浅入深。
逆向工程师面试题
黑夜黎明
08-16 2082
2.讲讲wfp与其它过滤驱动的区别?支支吾吾答了点,主要扯自己了解的ndis tdi 3.网络过滤器这块怎么快速获取某个端口对应是哪个pid? 4.windows新的虚拟机化有了解多少hg这块?听过 5.R3与R0通信? 6.主动防御实现逻辑? 7.从minfiter算起一个文件创建走了哪几层,叫什么名字? 8.进程在内存中的分布情况? 9.刚刚你讲到像Linux说说linux与windows内存分布情况? 10.讲讲linux内核与windows内核的区别,像进程信息怎么保存的? 11.刚刚你说到进程链,
实用级反主动防御rootkit设计思路[转载]
weixin_30826761的博客
12-06 111
有兴在这次x'con交流会上认识白远方兄弟,这是他很早前写的文章,提到了很多东西,保存一下。 作者:白远方 (ID: baiyuanfan, baiyuanfan@163.com, baiyuanfan@hotmail.com)June 18, 2007关键字:rootkit,反主动防御,网络监控,ring0,mcafee8.5i,KIS6,ZoneAlarm Pro,实用级产品测试目录...
windows主动防御
最新发布
10-18
Windows主动防御是指Windows操作系统自身具备的一些安全防护措施,可以有效地保护系统和用户的安全。其中包括以下几个方面: 1. 防火墙:Windows操作系统自带了防火墙功能,可以对网络流量进行监控和过滤,防止恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值