卡巴6及卡巴7注册表监控简评和建议

flo

软转储虽然好，但是貌似微软自己就没把它实现好，即便正常调用也有损坏注册表的风险，微软自己也建议尽量不要用。
而且现在一般流传的方法是先导出hiv文件，然后修改之，再导入回去。这对于许多造马人有点难度（尤其是修改）。（虽然其实有好方法）
卡7的处理办法是，只要尝试调用RegRestoreKey就认为是有问题的。而且这个拦截不是RegGuard作出的，是Application Activity Control作出的。
PS：我记得瑞星08 是不拦的 。

[ 本帖最后由 flo 于 2007-9-6 20:22 编辑 ]

eubyo

原帖由 flo 于 2007-9-6 20:17 发表
软转储虽然好，但是貌似微软自己就没把它实现好，即便正常调用也有损坏注册表的风险，微软自己也建议尽量不要用。
而且现在一般流传的方法是先导出hiv文件，然后修改之，再导入回去。这对于许多造马人有点难度（尤其是修改）。（虽然其实有好方法）
卡7的处理办法是，只要尝试调用RegRestoreKey就认为是有问题的。而且这个拦截不是RegGuard作出的，是Application Activity Control作出的。
PS：我记得瑞星08 是不拦的

我不明白，Application Activity Control在哪里？
本来我也是以为卡7会拦截的，但我写了一个程序测试过，根本没拦啊

flo

原帖由 eubyo 于 2007-9-6 21:13 发表

我不明白，Application Activity Control在哪里？
本来我也是以为卡7会拦截的，但我写了一个程序测试过，根本没拦啊

就是主动防御的程序活动分析模块啊，碰到RegRestoreKey一律拦截。不知道你程序是怎么写的？
（你是说主动防御还是自我保护？）

[ 本帖最后由 flo 于 2007-9-6 22:09 编辑 ]

eubyo

原帖由 flo 于 2007-9-6 22:04 发表

就是主动防御的程序活动分析模块啊，碰到RegRestoreKey一律拦截。不知道你程序是怎么写的？
（你是说主动防御还是自我保护？）

我自己试了一下，要把rd关掉，才会提示，而且不准确，你是不是把rd关了

flo

原帖由 eubyo 于 2007-9-7 09:10 发表

我自己试了一下，要把rd关掉，才会提示，而且不准确，你是不是把rd关了

我懂你意思了。我确实是把rd关掉的，不过即便开着rd，虽然不是碰到RegRestoreKey都拦截，但是至少不会让你还原到Run键上啊。（PS：不准确是什么意思？）
不过这个实现确实是有问题的，有空告诉卡巴官方去……

[ 本帖最后由 flo 于 2007-9-7 09:46 编辑 ]

eubyo

原帖由 <i>flo</i> 于 2007-9-7 09:43 发表 <a href="http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1679612&ptid=126918" target="_blank"><img src="http://bbs.kafan.cn/images/common/back.gif" border="0" onclick="zoom(this)" onload="attachimg(this, 'load')" alt="" /></a><br />

<br />
我懂你意思了。我确实是把rd关掉的，不过即便开着rd，虽然不是碰到RegRestoreKey都拦截，但是至少不会让你还原到Run键上啊。（PS：不准确是什么意思？）

<br />
是不会还原到Run键上，因为rd会拦，但可以还原到喀吧的注册表项上。
K7提示：“进程试图系统注册键中的值，其属于组System Startup. 这些键值控制Windows启动期间执行的模块列表。”，但我是RegRestoreKey到一个临时key，所以说是不准确。

flo

原帖由 eubyo 于 2007-9-7 09:49 发表

是不会还原到Run键上，因为rd会拦，但可以还原到喀吧的注册表项上。
K7提示：“进程试图系统注册键中的值，其属于组System Startup. 这些键值控制Windows启动期间执行的模块列表。”，但我是RegRestoreKey到一个临 ...

不，即便还原到其他的key也警报这种做法是正确的（至于System Startup估计是乱写的），否则有些方法就拦不到了。
（猜测是卡7内部，RegGuard处理ZwRestoreKey优先于其他组件）

[ 本帖最后由 flo 于 2007-9-7 09:58 编辑 ]

eubyo

原帖由 <i>flo</i> 于 2007-9-7 09:43 发表 <a href="http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1679612&ptid=126918" target="_blank"><img src="http://bbs.kafan.cn/images/common/back.gif" border="0" onclick="zoom(this)" onload="attachimg(this, 'load')" alt="" /></a><br />

<br />
我懂你意思了。我确实是把rd关掉的，不过即便开着rd，虽然不是碰到RegRestoreKey都拦截，但是至少不会让你还原到Run键上啊。（PS：不准确是什么意思？）<br />
不过这个实现确实是有问题的，有空告诉卡巴官方去……

<br />
开着rd，RegRestoreKey到卡巴的注册表项，没提示，帮忙看看是不是这样，谢谢
krd2.exe 只RegRestoreKey，最后会调用系统命令重启
krd2b.exe 不调用系统命令重启，只RegRestoreKey

重启之后，就关掉了卡巴的自我保护

eubyo

原帖由 <i>flo</i> 于 2007-9-7 09:55 发表 <a href="http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1679681&ptid=126918" target="_blank"><img src="http://bbs.kafan.cn/images/common/back.gif" border="0" onclick="zoom(this)" onload="attachimg(this, 'load')" alt="" /></a><br />

<br />
不，即便还原到其他的key也警报这种做法是正确的（至于System Startup估计是乱写的），否则有些方法就拦不到了。<br />
（猜测是卡7内部，RegGuard处理ZwRestoreKey优先于其他组件）

<br />
其实不准确也不是太要紧，我就是不明白怎么用rd它就不拦了，估计你的猜测没错

[ 本帖最后由 eubyo 于 2007-9-7 10:04 编辑 ]

flo

原帖由 eubyo 于 2007-9-7 09:57 发表

开着rd，RegRestoreKey到卡巴的注册表项，没提示，帮忙看看是不是这样，谢谢
krd2.exe 只RegRestoreKey，最后会调用系统命令重启
krd2b.exe 不调用系统命令重启，只RegRestoreKey

重启之后，就关掉了卡巴的自 ...

是这样的，不过我的意思是说，解决这个问题的真正方法不是在RD里把卡巴的键也加进去，应该拦截所有的RegRestoreKey才对。
如果某个键是受保护的，我完全可以去还原它的父键。
我也发一个测试程序好了，运行完后会在HKLM\Software\Microsoft\Windows\CurrentVersion\Run下建一个注册表项。如果开着RD，就拦截不了。

[ 本帖最后由 flo 于 2007-9-7 16:20 编辑 ]