收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 COMODO 看了这篇文章后觉得毛豆的防护的确不够全面啊
12下一页
返回列表 发新帖
查看: 3455|回复: 10
收起左侧

[讨论] 看了这篇文章后觉得毛豆的防护的确不够全面啊

[复制链接]
Shinyjp 该用户已被删除
发表于 2012-4-1 00:59:26 | 显示全部楼层 |阅读模式
  注册表启动项AppInit_Dlls位于注册表 HKLM\Microsoft\Windows NT\CurrentVersion\Windows下面,相对于其他的注册表启动项来说,这个键值的特殊之处在于任何使用到User32.dll 的EXE、DLL、OCX等类型的PE文件都会读取这个地方,并且根据约定的规范将这个键值下指向的DLL文件进行加载,加载的方式是调用 LoadLibrary。

  AppInit_Dlls的键值是一个非常危险的键值,从某种程度上来说,这是一个Windows最容易被人利用的漏洞,因为只要有任何的恶意软件在这里进行了修改,那么就意味着任何使用到User32.DLL的进程都会被AppInit_DLLs指向的DLL所注入。因为进程内部的DLL是共享整个进程空间的,因此意味着进程里面的DLL是可以控制整个进程的行为的。由于User32.DLL是一个非常通用的DLL,它提供了大多数Win32用户界面、消息相关的功能,只有极少数的程序不会使用User32.DLL,因此一旦有恶意软件修改了AppInit_Dlls键值,那么整个系统都有可能处于非常危险的状态。

  众所周知,Windows服务程序的启动时机是可以非常早的,往往在用户登录之前就完成启动了,而这个时候最常见的Run键值还不一定被处理完,而且Windows服务程序拥有相当高的权限(默认是Local System,可以对系统里面所有的资源进行操作),因此如果一个恶意软件被加载到Windows服务里面,那么是会非常危险的。前文提到,任何进程使用了User32.DLL,都会对AppInit_Dlls键值指向的DLL进行加载,如果是一个Windows服务程序,也不例外!

  由于AppInit_Dlls是一种系统全局性的Hook(system-wide hook),要规避此类的Hook的确很困难,虽然使用驱动程序进行保护能够规避此类问题,但也不是非要使用驱动程序进行处理的。前文说过,只有当使用到User32.DLL这个模块的时候才会触发读取AppInit_Dlls指向的DLL,如果不使用User32.DLL,那么AppInit_Dlls是不会被使用到的。但是要让一个程序不使用User32.DLL会变得非常困难(命令行窗口没有使用User32.DLL),因为任何的窗口、消息都和这个模块有关,为了保证有良好的用户体验,100%的窗口程序都和这个模块有关。从开发角度来说,最好的一种解决办法就是将程序功能逻辑和界面逻辑完全分离,功能逻辑模块负责功能,界面逻辑模块负责界面显示,两者之间采用IPC机制进行交互,功能逻辑模块不依靠User32.DLL,,而且作为独立进程进行处理,这样就可以规避AppInit_Dlls造成的Hook了。

  类似的Windows安全相关的缺陷点其实还有很多的,这些缺陷点的来源是为了保证向下的兼容性。相信MIcrosoft已经发现并正在修补这些地方,从Windows Vista上可以看到,AppInit_Dlls的键值在Windows Vista上是不起作用的,因此在Windows Vista里面,这个键值已经被抛弃了(改用另外一个键值执行类似的功能,但是增加了基于UAC的安全防护)。





想知道毛豆的D+是不是完全依赖guardxx.dll么,以前也试过,cmd的确基本上不受规则的限制而运行 除了被调用的

评分

参与人数 1人气 +1 收起 理由
梦中明月 + 1 感谢分享

查看全部评分

回复

举报

rqlfq
发表于 2012-4-1 11:00:46 | 显示全部楼层
试了几次都不会用,默认的规则怕不安全,用高人的规则上不了网,自己学习来加强吧,没信心!出个窗口也不知道是“允许”呢还是“否”,于是最终放弃在用OP呢,小红伞V9+OP,简简单单,中毒再说吧,哈哈
回复

举报

olda
头像被屏蔽
发表于 2012-4-1 13:06:00 | 显示全部楼层
rqlfq 发表于 2012-4-1 11:00
试了几次都不会用,默认的规则怕不安全,用高人的规则上不了网,自己学习来加强吧,没信心!出个窗口也不知 ...

"简简单单,中毒再说吧,哈哈"--其实没那么易中毒的。
回复

举报

BBCALL
发表于 2012-4-4 21:10:26 | 显示全部楼层
写的很有理
分享的观念很不错
但却不知道毛豆的默认规则就已经封杀这个问题
却说毛豆不够全面
回复

举报

UDady
发表于 2012-4-4 21:32:38 | 显示全部楼层
我认为,意识 大于 D+ 大于 裸奔   最近默认规则感觉比较强大                                                                    
回复

举报

fovfinal
发表于 2012-4-4 21:44:55 | 显示全部楼层
世间本来就没有完美的事物。
安全软件亦是如此,但我们可以用意识和大脑补上那份空缺。
回复

举报

共同进步
发表于 2012-4-4 22:28:06 | 显示全部楼层
支持意识流
回复

举报

bluelaser
发表于 2012-4-6 13:47:24 | 显示全部楼层
用VISTA以上新操作系统不就行了?
回复

举报

ch58837
发表于 2012-4-6 14:52:06 | 显示全部楼层
好久没啃毛豆了
回复

举报

Shinyjp 该用户已被删除
 楼主| 发表于 2012-4-6 18:35:02 | 显示全部楼层
bluelaser 发表于 2012-4-6 13:47
用VISTA以上新操作系统不就行了?

Vista我不知道,至少Win7还有AppInit_Dlls,程序运行是会加载毛豆的guardxx.dll,如果没了这个毛豆对程序的控制也基本上就没什么了
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-12-30 19:46 , Processed in 0.091424 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表