首页
论坛
课程
招聘
问个进程过滤问题
2010-6-23 16:43 4201

问个进程过滤问题

2010-6-23 16:43
4201
我正在做进程拦截过滤,现在就是不知道用什么过滤算法好,本来想用数字签名来过滤的,但是如果每个进程创建都用数字签名校验,那么会严重影响到系统性能。有么有什么好点的过滤算法思路啊?
用木马的特征码来过滤,对于我这种小工程又太庞大了。哪位前辈或者高人指点下,我需要一种比较容易实现而且性能比较好的过滤方法。过滤强度不必太大,至少常规系统程序和正规常见的软件不会拦截就可以了。
我还想到个思路就是,做个系统程序和常规软件的hash表来过滤,就是不知道用什么来计算hash呢?用名字的话,没什么用额......,有没有什么好的特征来计算,至少病毒或木马不易伪造。
高人前辈牛人速速来!................... 先谢谢了!~~~~~

2021 KCTF 秋季赛 防守篇-征题倒计时(11月14日截止)!

收藏
点赞0
打赏
分享
最新回复 (6)
雪    币: 160
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sidyh 活跃值 2010-6-24 00:04
2
0
MD5
Ring3-Ring0通讯(个人看法,方便)
我也写过类似的玩意
雪    币: 67
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
microbe 活跃值 2010-6-24 09:24
3
0
MD5 hash匹配,挺好的,,,就是应用程序更新后,hash也要更新~~~维护hash表挺麻烦。。。
雪    币: 47
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
游猎夕阳 活跃值 1 2010-6-24 11:51
4
0
谢谢各位的意见 MD5还不错,放用户层做MD5计算通信的话,延迟会比较大吧?
雪    币: 611
活跃值: 活跃值 (301)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
zzage 活跃值 1 2010-6-24 12:27
5
0
可以判断文件大小再计算MD5,如果文件太大,就放过不计算MD5,不然太过费时了~
雪    币: 514
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
xacker 活跃值 1 2010-6-24 12:51
6
0
如果只是为了区分开系统文件 完全可以自己判断ms签名  ^-^
雪    币: 47
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
游猎夕阳 活跃值 1 2010-6-24 18:46
7
0
ms并不是所有它带的程序都签名额,像记事本,用ms的签名校验都报没有签名。
游客
登录 | 注册 方可回帖
返回