设备管道分类

显示全部楼层 · 发表于 2012-7-29 11:51:37

本帖最后由柯林于 2012-7-29 20:54 编辑

以下资料，是XP上扫描得到的，需要参考的就参考下（建议结合U版打磨贴和局长的毛豆天衣禅贴进行参考）：

----------------------------------------------
以下接口，添加到文件分组后引入保护之列

基本接口
\Device\KsecDD
\Device\NamedPipe\lsarpc
\Device\MountPointManager
\Global??\FltMgrMsg
\Global??\FltMgr

服务接口
\Device\NamedPipe\wkssvc
\Device\NamedPipe\srvsvc
\Device\NamedPipe\net\NtControlPipe*
\Device\NamedPipe\svcctl
\Device\NamedPipe\keysvc
\Device\NamedPipe\msgsvc
\Device\NamedPipe\llsrpc
\Device\NamedPipe\scerpc
\Device\NamedPipe\winlogonrpc

设备与数据接口
\Device\*CdRomA*
\Device\STORAGE#Volume*
\Device\WMIDataDevice
\Device\shadow
\Device\NamedPipe\ShimViewer
\Device\NamedPipe\DAV RPC SERVICE
\DosDevices\Pipe\*

其它设备管道
\Device\RasAcd
\Device\NamedPipe\nddeapi
\Device\NamedPipe\browser
\Device\NamedPipe\samr
\Device\VolumesSafeForWriteAccess

网络接口
\RPC Control\DNSResolver
\Device\NamedPipe\ROUTER
\Device\NetBT_Tcpip*
\Device\Tcp
\Device\Tcp6
\Device\Udp
\Device\Udp6
\Device\Ip
\Device\Ip6
\Device\Icmp
\Device\Icmp6

=======================================
以下接口，添加到com分组后引入保护之列

伪com接口 - 特控端口
*\RPC Control\trkwks
*\RPC Control\ntsvcs
*\RPC Control\lsapolicylookup
*\RPC Control\LSARPC_ENDPOINT
*\RPC Control\LSMApi
*\RPC Control\lsasspirpc

===================================================
需要自己扫描确定的，小工具在这里：
这是扫描管道的工具，命令行操作的：dos方式进入目录，输入程序名称，回车即可

===================================================
网络接口的另一组简化写法：
\Device\Ip*
\Device\Icmp*
\Device\Tcp*
\Device\Udp*
\Device\NamedPipe\ROUTER
\Device\NetBT_TcpIp_*
\Device\WANARP*
\Device\RawIP*
\RPC Control\DNSResolver
\Device\Afd\Endpoint
\Device\Afd\*Hlp
\Device\Nsi

显示全部楼层 · 发表于 2012-7-29 12:10:50

怎么应用这些呢？

显示全部楼层 · 发表于 2012-7-29 12:12:22

很好的规则啊，不知道其他HIPS支持不

显示全部楼层 · 发表于 2012-7-29 12:16:23

本帖最后由柯林于 2012-7-29 12:18 编辑

462588842 发表于 2012-7-29 12:10
怎么应用这些呢？

在毛豆的文件分组里添加这些内容，然后引入保护里即可
注意，添加这些内容，将对沙盘内程序实施拦截，如果你打算在沙盘内运行一些程序，请考虑排除问题

补充：最后一组伪com接口，添加到com分组里

显示全部楼层 · 发表于 2012-7-29 12:17:11

LisaLan 发表于 2012-7-29 12:12
很好的规则啊，不知道其他HIPS支持不

命名管道，大概很多HIPS都是支持的，至于其它的，可能不一定

显示全部楼层 · 发表于 2012-7-29 14:31:02

本帖最后由老虎猫于 2012-7-29 14:34 编辑

\Device\KsecDD

\Global??\FltMgrMsg 这2条拿掉好了！进文件保护都没行为了。

显示全部楼层 · 发表于 2012-7-29 15:17:46

老虎猫发表于 2012-7-29 14:31
\Device\KsecDD

\Global??\FltMgrMsg 这2条拿掉好了！进文件保护都没行为了。

这些确实是常规接口，大部分程序可能一来都要涉及到，手动规则必须给正常程序优先排除的。至于默认规则，加了只是防御沙盘内的东东，对沙盘外的没影响，至于作用，可能确实没多大意义。

显示全部楼层 · 发表于 2012-7-29 17:45:07

\Global??\FltMgrMsg是什么接口啊

显示全部楼层 · 发表于 2012-7-29 17:49:13

LocalSecurityAuthority.Debug还有这个事做什么用的

显示全部楼层 · 发表于 2012-7-29 20:50:26

会飞的猫发表于 2012-7-29 17:49
LocalSecurityAuthority.Debug还有这个事做什么用的

\Global??\FltMgrMsg 文件系统相关的东东，追溯源头，大概跟C:\WINDOWS\system32\drivers\fltMgr.sys有关

LocalSecurityAuthority.Debug 调式提权用的

[分享] 设备管道分类

本帖子中包含更多资源

评分