试试各家主防的极限在哪

显示全部楼层 · 发表于 2012-5-10 23:30:57

a256886572008 发表于 2012-5-10 23:26
主要是，一旦放行 "父进程注入子进程"，HIPS 就该转型了，

要有观测该子进程行为的能力。

进程向自身注入线程或修改自身内存都应允许，进程对自身操作都不允许，什么世道。

显示全部楼层 · 发表于 2012-5-10 23:32:23

hddu 发表于 2012-5-10 23:30
进程向自身注入线程或修改自身内存都应允许，进程对自身操作都不允许，什么世道。

进程操作自己当然可以，

但是进程启动一个新的自己，再注入代码，这就不太对了。

显示全部楼层 · 发表于 2012-5-10 23:35:04

hx1997 发表于 2012-5-10 23:30
这里的 wuauclt.exe 也是系统的，自己看进程路径就知道了。

不会是MD没有MD5验证造成的吧

显示全部楼层 · 发表于 2012-5-10 23:35:27

hx1997 发表于 2012-5-10 23:32
进程操作自己当然可以，

但是进程启动一个新的自己，再注入代码，这就不太对了。

进程注入自身后，进程究竟要干什么，这才是主要的。

显示全部楼层 · 发表于 2012-5-10 23:39:02

hddu 发表于 2012-5-10 23:35
进程注入自身后，进程究竟要干什么，这才是主要的。

进程要做什么，直接做就好了，启动自己再注入是不太正常的。

就像你想做什么事情就自己做，难道你做事情要克隆一个自己出来，再操纵他去做事情？

显示全部楼层 · 发表于 2012-5-10 23:39:52

saga3721 发表于 2012-5-10 23:35
不会是MD没有MD5验证造成的吧

MD5 验证和这有什么关系？

显示全部楼层 · 发表于 2012-5-10 23:41:30

hddu 发表于 2012-5-10 23:30
进程向自身注入线程或修改自身内存都应允许，进程对自身操作都不允许，什么世道。

你也得看那个被注入的自身，是属於哪一种情况。

(1) 子进程 (2)非子进程

-----------------------------
如果是(2)，阻止当然没问题

主要是 (1)，这个还得看各家 HIPS 如何设计的。

显示全部楼层 · 发表于 2012-5-10 23:44:59

hx1997 发表于 2012-5-10 23:39
MD5 验证和这有什么关系？

或许MD以为凡叫这个名字的家伙都是在这个路径下的，也许是替换了MD也不知道还以为是原来的

显示全部楼层 · 发表于 2012-5-10 23:48:42

saga3721 发表于 2012-5-10 23:44
或许MD以为凡叫这个名字的家伙都是在这个路径下的，也许是替换了MD也不知道还以为是原来的

不会的，替换系统文件有规则会阻止的，而且 Windows 文件保护也会跳出来烦你。

显示全部楼层 · 发表于 2012-5-10 23:50:16

870097067 发表于 2012-5-10 22:55
查殺怎麼樣呢？主防怎麼樣？還想不支持64位哦？

支持64

[病毒样本] 试试各家 主防 的极限在哪