杀毒需要利剑在手

gao0907

杀毒需要利剑在手
放眼Internet，天光云影远山清渠，心气怡爽美不胜收！如果你陶醉这片美景，那就大错特错了。美景之下实则激流暗涌，挂马盗号放病毒……黑色产业的猖獗，危险就在身边。步步小心可以求得自保吗？很遗憾，前几天俺还听说XX高人气网站被挂马。逃不掉的，因为病毒会来找你--有电脑就有Internet，有internet就有江湖。
    Internet就是江湖，你怎么退出？既然无法逃避，那就只能勇于抗争了。拿起手中的剑，内外双修，不求斩尽天下毒寇，但求笑傲于江湖。

觅剑篇----行千里，寻龙渊
    欲做豪杰则必择良剑，欲泛舟于毒海且不惊起半点微漾，不但要内外双修，择剑也很重要(当然，如果已经到了那种手中无剑心中也无剑的境界那就另当别论了)。
    传说欧冶子铸龙渊，得铁英于茨山，寻寒泉于龙泉，觅亮石于溪山。铁英铸坯，寒泉淬火，亮石磨剑。虽然说现在大大小小的“铁匠铺”不少，但有能力打造出上等宝剑的，国内也就那么几家。
    上好的铁英----铸坯，这个最关键，直接决定最终的杀毒能力。反病毒是一个长期经验积累的过程，没有长期的积累，怎么可能积淀出上好的铁英？
    上等的寒泉----淬火，不够上等淬不出刚柔相济的剑身，而且淬得要恰到好处。淬快了，剑身太脆易折，淬慢了又会过于柔软，易卷刃，折了身或者卷了刃都不能杀毒。正如当前杀软的趋势，多是在以特征码判断的基础上加上一定的启发式，前者正如刚性，后者正如柔性，谁多了谁少了都不行。
    上佳的亮石----磨剑，不够上佳磨砺不出寒意彻骨的剑刃，似冒水气、血不沾锋的刃，不但让整个剑身都起到震撼效果，而且其华丽外表的背后其实深藏着削铁如泥的内在；正如好的杀软要有人性化的界面，但快捷操作的背后实际都是为了最快的斩杀病毒。
    还传说当年欧冶子总共炼出三把宝剑----龙渊，泰阿，工布，三者都是上好铁英、上等寒泉、上佳亮石铸得绝世名剑，为何偏偏要选龙渊呢？呵呵，没有为何，选龙渊而非泰阿工布，无需任何理由。

习剑篇----剑在手
    剑客有四重境----下乘者以力使剑；中乘者以气使剑；上乘者以意使剑；大成者手中无剑心中也无剑，草木竹石皆可为剑。
    以力使剑，一招一式，人是人，剑是剑，招式无幻化，但若剑是好剑，招式正宗，效果却也还不错，不妨用江湖老毒物灰鸽子来小试龙渊。
    下面就是KV2008查杀灰鸽子2007的截图。灰鸽子2007是比较邪恶的，使用用户态API挂钩隐藏了文件、系统服务和进程，如果自己的反病毒经验不是很丰富，就应该老老实实的遵从招式谱，F8启动到安全模式，然后使用KV2008进行全盘查杀。记住这里一定要进入安全模式，否则因为挂钩的问题，在正常模式下反病毒软件遍历全盘的时候会把灰鸽子漏掉。

中乘者以气使剑，这层境界中，已经不需要一板一眼的招式了，讲究呼吸吐纳尽自如。遇到一个病毒都是重启安全模式然后全盘扫，多麻烦啊。中乘者能够呼吸吐纳尽自如，目的就是为了最大限度的释放潜能。这一次我们不全盘扫描试试。还是上鸽子，还是灰鸽子2007，不过这只鸽子比上一只更恶毒，使用了进程内存替换技术把IE的外壳套在自己身上了，而且还是隐藏进程的。通常情况下，Windows自带的进程管理器中根本看不到(因为无耻的挂钩ntdll.dll导出NtQuerySystemInformation)，而KV2008的进程管理器已经告诉我们它是隐藏的，但是因为进程内存替换，KV2008依旧标记该进程为安全。不过剑是死的，人确实活的，你感觉到杀气了吗？呼吸吐纳炼到一定程度，就会有一种对危险的直觉，直觉告诉我们，这个IE不可靠。
    怎么办呢？别慌张，先赶紧把这个进程结束，然后再用KV2008扫描C:盘，不过没有必要重启去安全模式了，因为灰鸽子的进程已经被我们结束。扫描的截图就没必要再贴了，效果和上面不会差太多。
    是不是有点搞笑啊？就用了个KV的隐藏进程查看器就能算中乘者了？先不要忙着冷场，越往上，越需要强调自身的修为，龙渊虽利，但剑艺的高下取决于人。如果你知道API HOOK，灰鸽子那点雕虫小技又算得了什么呢？无非就是对用户态的那几条API来HOOK来HOOK去，HOOK NtQuerySystemInformation来隐藏进程，HOOK EnumServicesStatusEx来隐藏服务，HOOK NtTerminateProcess来防止进程被结束，HOOK……无聊的东西，HOOK库还是A的maghooks的。你知道它是如何来实现的障眼法，如何来破坏的，龙渊在手则可威力倍增，不光仅仅局限于灰鸽子哦。
    废话一点：
    KV2008的隐藏进程检测是做的比较狠的，单纯基于HOOK的隐藏技术已经逃不过KV的进程检测，无论是在用户态还是在内核态，即使是在内核态那些一般的内核内存涂改也逃不过去，比如断活动进程链等。

爱的秋天

不用江民，江民更新病毒库很慢，杀毒也不行

查出来枪毙

江民也敢自称利刃？太搞笑了吧。。。

再回首

强呀

不,强呀

不汗都不行呀

林实真君

此帖会火