我知道，草原上维持适当数量的狼对羊群是有好处的。黑客们每天都在发现安全漏洞，尝试入侵Internet的每个角落，但世界并没有变得更糟，而是更安全了。因此，除去前面说的冠冕堂皇的理由，让“想法”留在自己脑中的另一个原因是，我要靠它们混口饭吃。

    在安全行业混了一段时间后，我有两点体会：一是搞安全（或做黑客）拼的是灵感、创意。这一点我早就意识到了，这也是我最初对黑客技术产生浓厚兴趣的原因，现在我更确定这一点了。二是国内的安全产品（特别是软件）普遍缺乏核心技术。AV、防火墙、“防水墙”等传统的安全产品就不用说了，最近热门起来的电子文档保护产品也充斥着夸夸其谈、技术雷同等问题。要么是把机密文档转换为私有格式，完全把用户体验丢在一边（专用编辑器做的再好，能好过Word？）。要么是拿“驱动级透明加解密”当尚方宝剑，自以为所向无敌，结果连个线程插入读文件都对付不了。

    在我看来，缺乏核心技术的原因并不是技术实力差，而是产品设计思想落后。比如“透明加解密”，几乎所有人都认为，用文件系统过滤驱动来实现通用性好，效率高，安全性自然也强。事实上，他们忽略了一个朴素的道理——加密要尽可能早，解密要尽可能晚。也就是说，当应用程序产生机密数据的时候就应该加密它，直到应用程序需要使用数据的前一刻才解密它。这样才最大程度的降低了机密信息被截取的可能。一味地追求底层，恰恰和这种原则背道而驰（现在是要保护文档，不是写rootkit啊）。

    相比之下，国外的文档保护产品要好一点。特别是起步较早的韩国，几款产品水准较高（产品名字我就不说了，免得成为免费广告）。

    介于国内文档保护产品的保护措施普遍薄弱的现状，我还是让我的那些“想法”烂在肚子里吧。希望明年的这个时候，我可以一吐为快。呵呵。

(下面的文字本是我在某个论坛的回贴，后来发现跑题了，食之无味弃之可惜，于是转贴到这里)

除了nProtect，国外还有一些反键盘记录工具，比如下面这个还不错：
http://www.anti-keyloggers.com/

是个通用型的，与QQ的nProtect专门用于保护密码不同。
而且反破解做的不错（对我这种破解外行而言，呵呵）。

它的原理我简单的说一下，就是替换键盘类驱动的KeyboardClassServiceCallback，然后把得到的ScanCode传递到用户态，由位于Winlogon.exe的一个线程负责调用NtUserSendInput，将按键消息发给当前焦点窗口。

应该说这款反键盘工具的设计思想是很先进的：
1，选用KeyboardClassServiceCallback的好处是，比键盘过滤驱动更底层，对PS/2或USB键盘通用。
2，用Winlogon转发消息的好处是，自动适应多用户(session)的情况。
3，用NtUserSendInput的好处是，不会被Windows消息钩子挂钩。
4，虽然它没有构建起完全独立的键盘输入通道（这么做太复杂，兼容性不好），但对于没有重建的部分，通过检测钩子的方式弥补。

它的钩子检测功能对于用户态不错，遗憾的是，居然漏掉了中断服务挂钩的检测，实在是个大疏忽。另外，作为通用型保护机制，不可避免的具有一些局限性，比如无法防御用窗口子类化来做键盘记录。

还有一款产品：

http://www.anti-keylogger.net/

以后有空再看看，呵呵。

下面是代码。版面限制，排版有点乱:(

'Any2Bat.vbs by zzzEVAzzz
on error resume next
set arg=wscript.arguments
if arg.count=0 then wscript.quit
with CreateObject("ADODB.Stream")
.type=1:.open:.loadfromfile arg(0):bs=.read:l=.size:.close
end with
if err.number<>0 then wscript.quit
set fso=CreateObject("Scripting.FileSystemObject")
with fso.opentextfile(arg(0)&".bat",2,true)
if err.number<>0 then wscript.quit
.writeline "@echo bs=_>xx.vbs"
for k=1 to l step 129
.write "@echo """
.write b64b(midb(bs,k,129))
.writeline """+_>>xx.vbs"
next
.writeline "@echo """":set rs=CreateObject(""ADODB.Recordset"")>>xx.vbs"
.writeline "@echo set ado=CreateObject(""ADODB.Stream"")>>xx.vbs"
.writeline "@echo l=len(bs):ss="""":for k=1 to l step 4096:ss=ss+ub64(mid(bs,k,4096)):next:l=len(ss)>>xx.vbs"
.writeline "@echo rs.fields.append ""b"",205,l/2:rs.open:rs.addnew:rs(""b"")=ss+chrb(0):rs.update>>xx.vbs"
.writeline "@echo ado.mode=3:ado.type=1:ado.open:ado.write rs(""b"").getchunk(l/2)>>xx.vbs"
.writeline "@echo ado.savetofile """+fso.getfilename(arg(0))+""",2:ado.close>>xx.vbs"
.writeline "@echo function ub64(s):dim t(4),b(3):ub64="""":n=len(s):r=2 >>xx.vbs"
.writeline "@echo if n mod 4^<^>0 then exit function:end if:for i=1 to n step 4:for j=0 to 3 >>xx.vbs"
.writeline "@echo a=asc(mid(s,i+j,1)):if a=43 then:a=62:else if a=47 then:a=63:else if a^>47 and a^<58 then:_>>xx.vbs"
.writeline "@echo a=a+4:else if a=61 then:a=0:if r=2 then r=j-2:end if:else if a^>64 and a^<91 then:_>>xx.vbs"
.writeline "@echo a=a-65:else if a^>96 and a^<123 then:a=a-71:else:exit function:_>>xx.vbs"
.writeline "@echo end if:end if:end if:end if:end if:end if:t(j)=a:next>>xx.vbs"
.writeline "@echo b(0)=t(0)+t(1)*64 mod 256:b(1)=t(1)\4+t(2)*16 mod 256:b(2)=t(2)\16+t(3)*4 >>xx.vbs"
.writeline "@echo for j=0 to r:if b(j)^<16 then ub64=ub64+""0"":end if:ub64=ub64+hex(b(j))>>xx.vbs"
.writeline "@echo next:next:end function>>xx.vbs&&cscript.exe //nologo xx.vbs&del xx.vbs"
end with
const b64 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
function b64b(bin)
b64b=""
n=lenb(bin)
for i=1 to n step 3
a=ascb(midb(bin,i,1))
b64b=b64b+mid(b64,a mod 64+1,1)
if ib=ascb(midb(bin,i+1,1))
b64b=b64b+mid(b64,(a\64+b*4)mod 64+1,1)
if i+1c=ascb(midb(bin,i+2,1))
b64b=b64b+mid(b64,(b\16+c*16)mod 64+1,1)
b64b=b64b+mid(b64,c\4+1,1)
else
b64b=b64b+mid(b64,b\16+1,1)
b64b=b64b+"="
end if
else
b64b=b64b+mid(b64,a\64+1,1)
b64b=b64b+"=="
end if
next
end function

用法很简单，就一个参数——要转换的文件全路径。
也可以直接拖放文件到这个vbs的图标上。

原贴位置：http://forum.eviloctal.com/read-htm-tid-15522.html

   

    所谓的主动防御技术，目的是解决“病毒总是出现在杀毒软件更新病毒特征码之前”这个问题，但是，应用主动防御之后，仍然是杀毒软件在明，病毒/木马在暗。病毒/木马制作者可以在自己的电脑上安装一套所谓的主动防御软件，然后慢慢研究，不用费多少时间，无法“主动防御”的病毒/木马就会诞生。所以，说主动防御能解决AV软件杀毒能力滞后的问题，只是一种炒作。据我所知，主动防御或行为检测的概念，在DOS时代就有了，只是没有明确提出来而已。国内的AV要么是买国外的引擎（以至于没有版权，不能深入开发，甚至不能修正bug），要么烂得可以。只好搞点“新概念”吸引眼球，特别是在市场已经被瓜分完毕，新的AV想分杯羹的情况。我前段时间见到一个据说是国内最早(比江民早)搞AV的人，在他看来，国内的查杀毒技术，10几年来就没有大的进步，搞来搞去就那一套。

    主动防御依赖于行为检测，即所谓的“病毒行为动作特征库”。显然，这个行为特征库也存在信息滞后问题。比如对于木马修改注册表实现自启动这类行为，正常与否取决于注册表键值，没有一劳永逸的办法，只能是知道一个识别一个。大家可能都用过hijackThis或Autoruns，它们能列出系统中各种能实现自启动的地方，尤其是注册表特别多。随版本的升级，自启动项还在不多增加。再比如，我在《深入挖掘Windows脚本技术》中提到的WMI永久事件，这也是自启动，不知道现在市面上的AV有没有检测这个行为的。群众的创造力是无限的，再举个极端的例子，ACPI是可编程的，仍然写在注册表中(HKEY_LOCAL_MACHINE\HARDWARE\ACPI)，有AV想到了吗？还有，写个dll取名和系统常用dll一样，导出的函数也一样，放在WINNT目录，当explorer.exe启动时，先加载的是这个Trojan Dll。有AV管这个吗？仅仅一个自启动，行为就层出不穷，再来个文件感染行为呢？

    如果说，从病毒特征值检测到行为检测，一定程度上减少了“特征库”更新的频率，这是个进步。那么另一方面，误报率恐怕反而会增加。仔细想想就会知道，“擦边球”实在太多了。比如金山词霸（消息钩子、远程线程），Serv-U（安装服务），SoftIce和VMWare（安装驱动），BT和eMule（修改防火墙规则）等等。当然，AV会采取加权方式，只有行为的权值累积到某个阈值才报警。再复杂点的算法是把行为分组，一些普通的行为连贯起来就有了权值。这类方案算不上创新，任谁来设计都能想到。且不论该方案本身的复杂度，即使实现了，离“智能”还差得远着呢。当行为检测碰上QQ——自启动、安装驱动、监听端口、文件传输、屏幕截图、远程控制、安装IE插件、弹出广告，这么多“恶意行为”集中在一个程序里，是木马吗？？我开发安全产品的经验告诉我，控制粒度越精细，例外越多。QQ特例处理了，MSN呢？Skype呢？3721算不算木马？yahoo助手、网易泡泡，IE插件何其多。假设AV记录某个程序的各种行为，列成一张表，隐去文件名等信息后，交给“专家”来判断，能确定该程序是否木马吗？我看难说得很。人做不了的事，程序更搞不定了。

    最后，我统计了一下我的电脑（刚安装不久）上Program File下的30个软件，一半以上具有至少一个“恶意行为”，1/3具有两个或两个以上“恶意行为”。从概率上说，全世界有1/3的程序可能被拦截并提示用户，行为拦截机制多数情况在制造麻烦。要知道，多数AV用户是不熟悉计算机的，别指望拦截行为后给出提示，交给用户判断，就能“明辨是非”。而且，不是由用户自己装的就一定是正常的软件，也许是文件捆绑、伪装、欺骗用户执行，或者漏洞溢出执行，或者黑客入侵并像正常用户一般执行程序。当然，这种问题稍稍超出主动防御的范畴了。

    总之，我认为目前的主动防御技术，仅仅是原有技术的补充（很多AV已经这么做了），再往多的说就是炒作了。

      2005-11-29 补充： QQ密码输入框失去键盘焦点后，会还原中断向量。再次得到焦点时，又会修改IDT。这个修改不判断原中断向量，与前文说的jz指令无关。具体代码位置是基址偏移0x1e06(cli)至0x1e26(sti)这一段。用jmp指令跳过这段代码，IDT终于不会再被改了。实际破解时，还是在QQ的中断服务入口加jmp的办法简便易行。

      2006-01-23 补充：原来WinDbg是有!idt命令的，但自带的帮助文档里没有提到，我只能说——郁闷！

    http://bbs.zndev.com/read.php?tid=98377

    最让我“吃惊”的是IS列举进程的办法竟然是通过PspCidTable，晕啊。我记得很久以前我写knlps0.4的时候，就在幻影论坛提到过这个办法。这个办法被公开就完全失效了，所以我没有用它来实现knlps0.5。我本以为，IS应该是利用了某些无法被轻易修改的系统数据结构来列举进程。线程调度链表算一种，但IS不是用它。我能想到的就只有在非分页内存里搜索EPROCESS了。其它各种各样的“表”都可以很容易的涂改掉，只要知道是哪张“表”。虽然非分页内存也可以看作一张“表”，但改起来比较麻烦。

    关于IS的反调试，知道谜底了自然觉得没什么大不了的。不过我是个完全不会猜谜的人，所以没猜到也不觉得可惜。既然pjf是挑战赛的裁判，估计IS2.0会有不小的改进吧。希望将来谜底公开的时候，不会让我“不觉得可惜”，呵呵。

    wuyanfeng对IS驱动的分析，没说是什么版本。所以我下载了一个1.12en版，看看有啥变化。反WinDbg调试有点不一样了，以前（1.06）是只在启动的时候判断一次KdDebuggerEnabled，如果非零就调用KdDisableDebugger，现在是不断地检查它。我把KdDisableDebugger入口改成了ret指令，结果调试器不会被断开了，但CPU占用100%。一计不成又生一计，我在KdDebuggerEnabled上设内存读断点，想等IS读的时候，给IS打个“补丁”。结果在调试状态下，总是系统的KeUpdateSystemTime和KdPollBreakIn例程在读取，IS完全没有机会动。两个系统例程读取KdDebuggerEnabled的值后，紧接着是jz和jnz指令，哈，分别改成jnz和jz，再把KdDebuggerEnabled改成0，搞定！建议pjf用关闭调试端口的办法反WinDbg。靠判断KdDebuggerEnabled实在太容易pass了。

    涂改了PspCidTable，发现还是可以隐藏进程，失望ing。

不慎掉入厕所下水管道

历时90分钟抢救无效（打捞失败）

不幸"光荣牺牲"

享年一岁零34天

在此

我沉痛悼念我的Nokia3200

........................（默哀三秒钟）

追授"EVA一等手机功勋奖章"

!@#$%^&*（奏Nokia开机铃声）

向遗体告别——敬礼