样本加载了SYS，咖啡还能否监听到之后行为？

依班娜

另外，除了加载SYS以外，还有没有办法获得RING0级权限？

shiyuelaohu

我觉得不能，咖啡FD只在文件层面起作用，ring0级高级权限涉及操作系统底层，咖啡力所不及。个人非计算机专业，不知道说得对不对。看网上的方法大都用了驱动。

wzx3250259

还是有规则的可以防的。

jml521m

    sys 级的防御，mcafee只能通过mdd 防御，mdd不具备监听的功能。
    **.sys 可以监听，也可以直接监听   drivers文件夹，规则跟普通的监听一样的设置。。。  
    对于RING0，获得权限方法很多，百度文库直接搜索有很多，你可以查看下
http://wenku.baidu.com/view/8963d821af45b307e8719709.html
但对于服务宿主的调用，我之前的文章，有涉及到，你可以查看对于svchost.exe 的监听，不过日志会很大，涉及到网络跟系统的调用。http://bbs.kafan.cn/thread-1433839-1-1.html
   我想这个监听规则，对你很有用， 你可以查看下，关于内存间的调用，我想，这个瓶颈掐好了，不是所有的病毒都可以越权的。。。

依班娜

jml521m 发表于 2013-7-15 11:10
sys 级的防御，mcafee只能通过mdd 防御，mdd不具备监听的功能。
    **.sys 可以监听，也可以直接监听 ...

我的意思是说
获取了RING0级别的权限
再删除XX文件，用RING0级别

只报告那种能否能监听到

最近在琢磨用访问保护做些测样本动作的规则，包括常用被注入的进程如explorer的监听……
童鞋再提个意见

还有……我没有汇编语言的基础饿

jml521m

依班娜 发表于 2013-7-15 11:52
我的意思是说
获取了RING0级别的权限
再删除XX文件，用RING0级别

  在win7 下注入explorer  基本上是不可能的， xp 下面比较容易，排开系统不谈，而谈注入，基本上是牛头不对马嘴，基本上是不可行的， 其实你一般情况下 只需要 监听 dll  就可以实现，其次监听exe之间的调用，  还有一个就是对命令行，进行限制，那么这样基本上可以起到你要的效果，如果不放心，那么服务监听，规则我也告诉你了， 特定注册表的监听你也可以添加一些，参考叶版的规则，很明白的， 有这些，一个系统的防御，已经很安全了，接下来全靠本人的分析跟知识了。。。。就一般人正握这些已经很安全了，
    这么跟你说吧， 包括目前，很多的win7 上面能成功注入的病毒病不多，  而在xp 上面，那么你可以用一个路径策略或者是散列策略对explorer进行设置为基本权限运行也能防住对explorer的注入。。。 如果要差具体的注入还的借助一些小工具的。。。内核级的， 很复杂的一个系统，真不好解释这些。。。我能告知的也就是利用mcafee 防。。。仅此而已，但愿能帮到你。。。

依班娜

jml521m 发表于 2013-7-15 12:24
在win7 下注入explorer  基本上是不可能的， xp 下面比较容易，排开系统不谈，而谈注入，基本上是牛头 ...

上次火狐的抓到的GAPZ注入，我测了一下，似乎是直接对进程里的explorer进行修改内存
使之直接执行自己要做的命令，用MD似乎检测到对explorer的读操作，看来也并不是调用某个系统进程再进行注入，而且MD对其阻止还失败了

我测样本的环境是XP X32
我要写些的规则只是用访问保护测毒罢了，并不是要用到防御上去，我知道用有AD的会更加全面和方便
我用访问保护只是闲得慌而已……

jml521m

依班娜 发表于 2013-7-15 19:27
上次火狐的抓到的GAPZ注入，我测了一下，似乎是直接对进程里的explorer进行修改内存
使之直接执行自己要 ...

早已经退出 xp时代了.... 只能说爱莫能助了...