VBGood网站全文搜索 Google

搜索VBGood全站网页(全文搜索)

VB爱好者乐园(VBGood)

 找回密码
 立即注册
搜索
查看: 4480|回复: 6

[转帖] 目前为止最严格最强大的防护软件之一AresProtectionSystem1.0测试版

[复制链接]
 楼主| 发表于 2010-4-27 18:07:11 | 显示全部楼层 |阅读模式
这个标题是MJ0011写的,不是我的,莫丢砖.

偶尔在卡饭逛逛,发现一个帖子被跟了80多页.
原来是360高级工程师MJ在和一个初中生论战.
MJ声称小孩十年破不了他的保护.
兼有各种360工作人员在其中参与论战和网友顶贴.

我对360本来没甚好感,
对其工作人员说话态度也大感意外.

我不相信的是360能靠此工作人员突然成为了国际顶尖杀软?
特来请教破解方法.
但我不太喜欢见到如此夸大的评价,特别是那2个"最".
希望国内安软能踏实做技术,少用"最"宣传,
起码等成了国际顶尖再用"最"也不迟

此号马甲,丢砖无效.

下面是原帖内容,
转帖来自卡饭http://bbs.kafan.cn/thread-689512-1-1.html

AresProtectionSystem(简称APS)是一个系统防护软件,目前先放出一个测试版给liangfangCN 做攻击测试,可能存在一定问题,欢迎测试发现。

APS会在运行后将系统所有新运行的程序隔离到一个独立的空间中,程序不能对现有系统做任何破坏、攻击。

APS采用的部分技术类似沙盘,但是APS同时具有沙盘和HIPS两种防护体系,而且由于APS采用的防御设计思路和常规的安全防御软件相反,因此比普通的沙盘、HIPS严格得多,同时还可以在很大程度上防御Windows内核0DAY漏洞的攻击(尤其是第三方驱动程序、除Windows内核 (win32k/hal/ntos)外的Windows组件的漏洞),可以说是目前世界上最严格、最强大的防护系统,强度之高,可说超越目前任何的安全防御软件,而且极难被突破。

防护技术细节:

(1).RD/FD 全只读封锁,受限制的程序对文件系统、注册表只能读,不能写,目前受限制程序只能访问C盘和系统目录,不能访问其他任何目录

(2).UI隔离,使用UI隔离、防护,将受限制程序完全放入一个独立的UI空间中,不能对外做窗口攻击、信息窃取等,可以有效防止盗号程序、键盘记录器

(3).内核防御 开启APS保护后,一切内核攻击都将被拦截,除非突破(4)中的内核漏洞防御,攻击者不可能进入R0,即使攻击者使用非常特殊的方式加载内核驱动,APS 也会使之无效

(4).内核漏洞防御 APS过滤了大量可能引发内核漏洞的函数,尽管APS不可能做到100%防御内核漏洞,但可以尽可能阻止绝大部分内核漏洞,目前版本的APS基本可以杜绝第三方驱动程序、非Windows内核(win32/hal/ntos)的Windows内核组件的漏洞

(5).进程保护 受限制的进程不可能以任何形式同任何不受限进程进行通讯,完全做到了进程间隔离,目前版本的APS中,进程除了可以通过ApiPort和 csrss.exe做极有限的无害交互外,不能和不受限进程或系统进程做任何交互

(6).网络防护 目前APS开启后,受限制程序不能连接网络,也不能做任何和网络有关的操作

(7).关机保护,目前APS开启后,受限制程序将不能对系统做关闭、注销、重启等操作


当然,由于APS目前没有用户交互且防护极其严格,很多编写不规范的程序会出现功能上的问题,甚至完全无法运行,为了防止损坏你的数据,建议在虚拟机上运行本程序,出现问题时直接对虚拟机进行重启。现在的APS为了做攻击测试,因此对所有新创建进程都会被直接列入限制进程中,在以后的版本会加入排除。

安装指引:

Ares Protection System v1.0.0.1001 目前仅支持Windows XP
1.确保系统干净,不存在任何第三方非硬件内核驱动,例如虚拟光驱驱动、安全软件驱动、加密文件驱动等等,否则运行本系统可能蓝屏或者工作不正常。
可使用Rootkit Unhooker等工具检查,看有无SSDT HOOK/ShadowSSDT HOOK/KiFastCallEntry HOOK,如果没有就可以正常运行

攻击测试前,请保证系统已经安装了当前操作系统的全部补丁。


2.等待操作系统启动进入稳定状态(一分钟左右),运行AresProtections.exe,该程序接着会运行LowComp.exe,等着两个 EXE正常运行并提示安装完成,如果有错误请联系我,最后程序会运行calc.exe,这个是攻击测试的标靶。

3.测试保护系统是否正常开启:运行任务管理器,看是否能结束任意一个进程,看“应用程序“栏是否能显示此前启动的任意进程,如果可以结束或显示,说明保护系统未正常开启,请联系我

4.攻击测试要求, 这个是给liangfangCN 的测试条件,非liangfangCN 可以无视。
(1).不能通过硬件方式从外部对待测试环境进行任何干扰,例如关机、插入新的设备,等等,可以用鼠标键盘操作复制测试程序到本地、运行本地测试程序和对其界面做相关操作,其他操作则不允许(例如利用鼠标控制已运行起来的不受限进程Explorer.exe来操作文件,模拟鼠标键盘不在此限制内)

(2).可以使用Windows内核漏洞对本保护系统进行攻击,但内核漏洞必须是Windows操作系统的,且是完全自行发现的,要满足如下要求
a.使用的内核0DAY不能是已经被公开修补或公开公布、半公开公布或者可以以简单方式(例如网络)获取的
b.不可使用本系统自身驱动的内核漏洞

(3).攻击目的要求是达到结束目标进程calc.exe, 关机或注销方式使进程退出也算成功,但不能以蓝屏方式结束进程。进程结束的达成条件为使用常规工具(例如任务管理器)不受干扰地检查进程列表,不存在原先的calc.exe进程

5.测试环境要求XP SP2/SP3,系统盘为NTFS分区,安系统正常服务、启动项安装,无其他第三方软件

6.先放出来1.0测试版,有任何程序问题也可以联系我,不过由于目前的系统限制非常严格,可能很多复杂软件不能正常运行。
联系方式:th_decoder@126.com 或通过卡饭论坛PM

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
发表于 2010-4-27 22:48:29 | 显示全部楼层
别的我不懂,这个程序确实是世界上最强的保护了,我估计那小孩别说十年了,二十三十年也突破不了这个程序的保护,我看VBGOOD里大多数也都是小孩,楼主你就别费精力了,据说这个程序发到第八个男人、看雪那样的高手论坛,都没法被破。
回复 支持 反对

使用道具 举报

发表于 2010-4-27 22:51:21 | 显示全部楼层
世界最强
太绝对了吧
回复 支持 反对

使用道具 举报

发表于 2010-4-28 07:52:24 | 显示全部楼层
我艹  看着貌似很NB 嘛~
回复 支持 反对

使用道具 举报

头像被屏蔽
发表于 2010-4-28 11:15:48 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

头像被屏蔽
发表于 2010-4-28 17:25:34 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

发表于 2010-5-1 12:09:12 | 显示全部楼层
真害人 让我看那贴 浪费了我半个小时 我足足一帖一帖看 看了20页
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

文字版|手机版|小黑屋|VBGood  

GMT+8, 2022-7-5 00:09

VB爱好者乐园(VBGood)
快速回复 返回顶部 返回列表