再提提互联钢钉 直播完毕

taoyuan237

看到XX人在样本区不停地宣传我有点。。。。。
于是我来亲自测试
大家鼓掌欢迎
第一章
运行
我用的是MD来监控
监控如下
2009-10-2 16:42:12    访问COM接口    允许
进程: c:\documents and settings\administrator\桌面\hlgd\hlgd.exe
目标: {8856F961-340A-11D0-A96B-00C04FD705A2} Shell.Explorer.2
文件路径: C:\WINDOWS\system32\shdocvw.dll
规则: [应用程序]* -> [COM接口]{8856F961-340A-11D0-A96B-00C04FD705A2}
2009-10-2 16:42:13    挂起其他进程    允许
进程: c:\documents and settings\administrator\桌面\hlgd\hlgd.exe
目标: c:\windows\system32\csrss.exe
规则: [应用程序]*
2009-10-2 16:42:13    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\hlgd\hlgd.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hlgd
值: "C:\Documents and Settings\Administrator\桌面\hlgd\hlgd.exe"
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
2009-10-2 16:42:13    创建注册表项    允许
进程: c:\documents and settings\administrator\桌面\hlgd\hlgd.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*


拦截日记就这些
我有些不明白
2009-10-2 16:42:13 c:\documents and settings\administrator\桌面\hlgd\hlgd.exe 挂起其他进程 c:\windows\system32\csrss.exe
挂起csrss.exe 那系统不就死了。。。。
不过我的系统没有死
附图一张


我不明白了，期待别人解答
第二步很明显了添加启动项
第三步镜像劫持CMD?
我OUT了
2
寻找拦截方式

我用MD找遍了系统，硬是没找到互联钢钉的任何踪迹
由此可见
这个是R3级别的东西，一个R3级别就能控制所有的病毒？不可相信。要真的是哪HIPS是干啥的。。。。。
那么多进入内核的程序是干啥的。。。
第二章
自保
按下是以后任务栏管理器退出了，互联钢钉的托盘消失
重新打开任务栏管理器未发现进程。
MD也没有发现，由此可见互联钢钉已经彻底那啥了
测试至此我只能说，这个要是能防御所有的病毒我就彻底吐血了


病毒测试二楼开始

[ 本帖最后由 taoyuan237 于 2009-10-2 20:14 编辑 ]

taoyuan237

1毒网测试


确实拦截了，到底是什么原理呢？
我们看下2.HTM的源码

我不知道这个有什么好拦截的
难道是后台的操作放被拦截，但是显示2.HTM？
我又试了一个

这个是单个页面，出乎意料又拦截了
拦截后10秒内系统被锁死
查看源码出现这个

但是，过了下，记事本自己出来了
要是病毒怎么办。。。。
我很无语
本机测试
我采用了个类似溢出的方法
在游览器里输入beikescan.exe
beikescanshi是贝壳我放在桌面上了
地址栏输入时IE会优先打开桌面的程序
所以运行后
出现

IE自动被关闭
根据以上测试我猜想
网马拦截的部分应该是溢出拦截和特征码的结果

小结下
溢出拦截应该都可以做到
特征码就要看他到底是什么特征码了
难道是行为匹配？感觉不太现实。这个只有反编译才知道了

第二部分
人家都用病毒测试
我反其道而行之
用http://bbs.kafan.cn/thread-420779-1-1.html里面的测试工具来测测
他说是行为防御啊，我倒要看看能不能防御

注册表测试1

。。。。。。。
我无语
原来是这样的行为防御
测试2
没有提示
剩下的。。。、
统统无提示



测试第二遍，又提示了2个。但是最后一个始终无提示

写入测试

通过
不过我想，这个应该是只要写入系统就。。。所以。。。等会安装个小小的程序看看


本来是想安装个程序看的，看起来不用了上面的测试工具带了安装测试


因为这个东西估计阻止所有的程序写入某文件夹，所以很多不加驱的病毒无法运行

下面来点暴力的
手工测试
向他的进程注入DLL
我这里使用july_v4.05
我把钢钉的名字改成了AVP.EXE为了后面病毒测试方便
我插入神器的一个DLL

点下了是

成功插入
我早就知道
没有自保的结果必然是邪恶的

PS一句
我下网马的时候用迅雷也给我拦截了，不过还好主程序正常可以使用

下面是老一套啦
病毒测试

某网马
结果，钢钉无提示拦截
因为钢钉会主动修改其他程序的内存
有日记为证
2009-10-2 19:13:52 c:\documents and settings\administrator\桌面\j14.scr 修改其他进程的内存 c:\windows\system32\cmd.exe 允许 [应用程序]*

网马二


再次拦截。
看来确实有一定效果

不过绕过也很简单
一上来什么也不干先把进程KILL然后，没人管了
就算用BAT也是可以的

下面是安装测试
测试对象
安装金山毒霸2009
安装过程中比较安静
不过毒霸加驱加完以后
弹出了这个
我昏你能删除才怪，人家金山可不是吃素的
之后运行主程序
无语，过了10秒，金山打开了
测试二
国家花4000W购买的某产品
双击后出现了这个
我晕死
你提示还要赖MD。。。

[ 本帖最后由 taoyuan237 于 2009-10-2 20:17 编辑 ]

烟丝泡茶

占楼慢慢看

avast!

继续，继续。。我咬楼，我断楼，

请解释一下互联钢钉，还不太清楚这个是。。。。？ hips？

雨宫优子

看下....

asinasina

这东西超越了我的理解范围...

z2665

这个啥互联的东东，觉得非常不靠谱

qwe12301

你的直播很好看

感谢分享~~~

潜水队员

准备围观kaba2乱拳打死老师傅。

ablhr

等待kaba2的解答