此软件确实能达到一些效果。不过经过我的测试,在很多方面,它都相当地符合病毒、木马和流氓软件的定义。
1、所有模块和数据文件安装在Windows、System32目录下,安装服务,安装驱动程序和WinSock过滤器。
2、无卸载程序,无任何安装日志。
3、尝试注入各进程,因而实现关键词过滤、文本过滤等很多功能。
4、2进程与一服务的互相守护,ring3下防进程终止保护。
5、通过WinSock过滤器实现所谓的“上网时间限制”(我搞不明白,既然已经作了winsock过滤器,为何不拿它来做一个真正的本地IDS系统而还要在应用程序上下功夫?)
6、没有ring0级别的防御和病毒木马常用的IFEO劫持、getwindowtext过滤之类的自我保护。这样,在IceSword、SnipeSword(狙剑)等安全工具的强力攻击下,整个软件很快就会被完全击溃(唯一麻烦在于WinSock SPI)。
我的建议是:增加对软件的getwindowtext过滤和特征码过滤(现在的东西可不是靠一个文件名就能唯一识别的);把文字过滤项转移到winsock层,可以对任何网络程序进行过滤而不是仅仅针对IE内核的浏览器;日志要加密,要搞后台自动发送,截图要压缩。。总之果然是典型的国产半吊子货,还有,我搞不清这个和某个MatinSoft的GoldTach个人防火墙的关系。
我用Thinstall对软件作了一个快照(有驱动,因此想绿色化自然是不可能的),如果想研究的,可以去这里下载(怎么下载还是不用我说)。
http://www.mediafire.com/?sharekey=b88e2ce4ed1308ffd2db6fb9a8902bda
没有评论:
发表评论