毛豆天蝉衣---命名管道(Named Pipe )防御（新手慎用）

baerzake

什么是Named Pipe ？

“命名管道”（Named Pipe ）是一种比较可靠的进程间通信机制，可用在同一台计算机不同进程间，也可用在不同计算机的不同进程间，可以是单向的，也可以是双向的，Windows NT、Windows 2000、Windows 95和Windows 98均提供了对它的支持，而且在Unix下也有类似的概念。它是在Microsoft LAN管理器和IBMLAN服务器网络操作系统上实现的。

Named Pipe 有什么危害？

去HIPS区搜索下银石以前发的样本就知道有什么危害了，病毒可以通过访问Named Pipe 来修改用户权限，破坏系统等一系列危害，举个例子，病毒可以通过访问lsass管道来修改用户权限，使用户重启后不能进入系统等。

下面是我的Named Pipe 防御规则，基本涵盖了重要的Named Pipe ，现在拿出来和大家分享。有些虽然目前还没有病毒利用，但不能保证以后不会被利用，所以多防御一点不是坏事。

一般情况下普通程序不会使用Named Pipe ，所以阻止程序访问Named Pipe 一般没有影响，如有影响可以根据日志添加例外。最好是事先将Named Pipe 组加入到my protected file的block中，否则提示会很多。新手注意可以不要对explorer进行namedpipe拦截，这样更便于使用，因为拦截explorer的话要排除的很多。

使用方法：关闭D+，退出COMODO，然后将附件导入注册表，注意由于个人分组不同可能会造成导入注册表后在毛豆里看不到这个分组，可以先在my File Groups  里新建一个组.组名叫FD_先在my File Groups  里新建一个组.组名叫FD_Named Pipe ,确定退出.打开regedit找到HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\File Groups  把刚刚新建的那个组删除掉.(最后的一个组，比如原来有11个组，新建的组应该就是12.)然后把原来导入的组13改名为刚才的组名,(也就是上面所说的组12).然后注销电脑再进来就可以找到这个组了.

预览：




[ 本帖最后由 baerzake 于 2008-6-27 12:12 编辑 ]

polly5771

B版又出精品了~~~赶紧来学习下

伯夷叔齐

很早以前就添加了，但还是感谢火鸟的提醒。

grote

直接加到protected file中就可以了吗，protected file中并没有block呀

loveyuwei

支持火鸟！

zwf2003

真是帖帖精品啊

malcye

是不是也能这样？
先在my File Groups  里新建一个组.组名叫FD_Named Pipe ,确定退出.打开regedit找到HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro\Configurations\0\File Groups看新建的组序号，然后打开REG文件替换组序号后导入？

rcbblgy

怎么不把内容列出来，好让用其它软件的人借鉴一下

5812170

最好是事先将Named Pipe 组加入到my protected file的block中，否则提示会很多。 不知道怎么弄，希望高手解释一下

huai168an

可以放在all application规则的my protected file的block中，具体程序规则不要轻易的给予allow，设置为ask或block。