首页 - 操作系统 - 编程 - 平面设计 - 三维动画 - Web - 数据库 - 网络 - 安全 - 通信 - 认证考试 - 办公 - 服务器 - 企业 - 行业 - 软件 - SOA
豆豆网 > 技术应用 > 安全技术 > 杀毒技术 > 杀毒软件 > 正文

国外高手谈卡巴斯基存隐患(2)

豆豆网   技术应用频道   2007年06月22日  【字号: 收藏本文

关键字: 金山毒霸 2009 卡巴2009 趋势杀毒 杀毒软件使用 诺顿杀毒软件 瑞星卡卡

内容摘要:KAV的杀毒软件依靠诸多不安全内核层的黑客程序,从而将系统稳定性置于危险中。想要解决这个问题,首先KAV需要去掉不安全的内核层黑客程序,比如给非输出函数打补丁或者不加验证地关联系统服务等等。

  KAV用来保护用户层代码的机制也是一种黑客机制。KAV动态地判定系统调用NtProtectVirtualMemory系统服务的序数,然后用它自己的int 2e thunk来调用该服务。

.text:F8221320 KavExecuteNtProtectVirtualMemoryInt2E proc near
.text:F8221320        ; CODE XREF: KavReprotectExportTable+47p
.text:F8221320        ; KavReprotectExportTable+BFp ...
.text:F8221320
.text:F8221320 arg_0      = dword ptr 4
.text:F8221320 arg_4      = dword ptr 8
.text:F8221320 arg_8      = dword ptr 0Ch
.text:F8221320 arg_C      = dword ptr 10h
.text:F8221320
.text:F8221320  mov   eax, [esp+arg_0]
.text:F8221324  mov   ecx, [esp+arg_C]
.text:F8221328  mov   edx, [esp+arg_8]
.text:F822132C  push  ebx
.text:F822132D  mov   [esp+4+arg_0], eax
.text:F8221331  push  ecx
.text:F8221332  lea   eax, [esp+8+arg_4]
.text:F8221336  push  edx
.text:F8221337  mov   edx, NtProtectVirtualMemoryOrdinal
.text:F822133D  lea   ecx, [esp+0Ch+arg_0]
.text:F8221341  push  eax
.text:F8221342  push  ecx
.text:F8221343  push  0FFFFFFFFh
.text:F8221345  push  edx
.text:F8221346  xor   bl, bl
.text:F8221348  call  KavInt2E
.text:F822134D  test  eax, eax
.text:F822134F  mov   al, 1
.text:F8221351  jge   short loc_F8221355
.text:F8221353  mov   al, bl
.text:F8221355
.text:F8221355 loc_F8221355:       ; CODE XREF: KavExecuteNtProtectVirtualMemoryInt2E+31j
.text:F8221355  pop   ebx
.text:F8221356  retn  10h
.text:F8221356 KavExecuteNtProtectVirtualMemoryInt2E endp
.user:F8231090 KavInt2E    proc near        ; CODE XREF: KavExecuteNtProtectVirtualMemoryInt2E+28p
.user:F8231090
.user:F8231090 arg_0      = dword ptr 8
.user:F8231090 arg_4      = dword ptr 0Ch
.user:F8231090
.user:F8231090  push  ebp
.user:F8231091  mov   ebp, esp
.user:F8231093  mov   eax, [ebp+arg_0]
.user:F8231096  lea   edx, [ebp+arg_4]
.user:F823109C  int   2Eh      
.user:F823109C       
.user:F823109E  pop   ebp
.user:F823109F  retn  18h
.user:F823109F KavInt2E    endp
.user:F823109F

上一页12345678下一页

来源:赛迪网    作者:杜莉    责编:豆豆技术应用

与“国外高手谈卡巴斯基存隐患(2)”相关的文章
本栏目更新
点击发表评论
正在加载评论...

杀毒技术
杀毒技术精选
安全软件
关于我们 - 联系我们 - 版权申明 - 广告服务 - 网站地图 - 网站律师 - 报告错误 - 免责条款 - 友情连接
豆豆网 版权所有 © 2002-2008
蜀ICP证05002354号 All rights reserved DDVIP.COM