查看: 1628|回复: 7
收起左侧

[讨论] 样本加载了SYS,咖啡还能否监听到之后行为?

[复制链接]
依班娜
发表于 2013-7-14 22:22:32 | 显示全部楼层 |阅读模式
另外,除了加载SYS以外,还有没有办法获得RING0级权限?
shiyuelaohu
发表于 2013-7-14 22:59:40 | 显示全部楼层
本帖最后由 shiyuelaohu 于 2013-7-14 23:08 编辑

我觉得不能,咖啡FD只在文件层面起作用,ring0级高级权限涉及操作系统底层,咖啡力所不及。个人非计算机专业,不知道说得对不对。看网上的方法大都用了驱动。
wzx3250259
发表于 2013-7-15 03:25:07 | 显示全部楼层
还是有规则的可以防的。
jml521m
发表于 2013-7-15 11:10:47 | 显示全部楼层
    sys 级的防御,mcafee只能通过mdd 防御,mdd不具备监听的功能。
    **.sys 可以监听,也可以直接监听   drivers文件夹,规则跟普通的监听一样的设置。。。  
    对于RING0,获得权限方法很多,百度文库直接搜索有很多,你可以查看下
http://wenku.baidu.com/view/8963d821af45b307e8719709.html
但对于服务宿主的调用,我之前的文章,有涉及到,你可以查看对于svchost.exe 的监听,不过日志会很大,涉及到网络跟系统的调用。http://bbs.kafan.cn/thread-1433839-1-1.html
   我想这个监听规则,对你很有用, 你可以查看下,关于内存间的调用,我想,这个瓶颈掐好了,不是所有的病毒都可以越权的。。。

依班娜
 楼主| 发表于 2013-7-15 11:52:52 | 显示全部楼层
本帖最后由 依班娜 于 2013-7-15 11:54 编辑
jml521m 发表于 2013-7-15 11:10
sys 级的防御,mcafee只能通过mdd 防御,mdd不具备监听的功能。
    **.sys 可以监听,也可以直接监听 ...


我的意思是说
获取了RING0级别的权限
再删除XX文件,用RING0级别

只报告那种能否能监听到

最近在琢磨用访问保护做些测样本动作的规则,包括常用被注入的进程如explorer的监听……
童鞋再提个意见

还有……我没有汇编语言的基础饿
jml521m
发表于 2013-7-15 12:24:40 | 显示全部楼层
依班娜 发表于 2013-7-15 11:52
我的意思是说
获取了RING0级别的权限
再删除XX文件,用RING0级别


  在win7 下注入explorer  基本上是不可能的, xp 下面比较容易,排开系统不谈,而谈注入,基本上是牛头不对马嘴,基本上是不可行的, 其实你一般情况下 只需要 监听 dll  就可以实现,其次监听exe之间的调用,  还有一个就是对命令行,进行限制,那么这样基本上可以起到你要的效果,如果不放心,那么服务监听,规则我也告诉你了, 特定注册表的监听你也可以添加一些,参考叶版的规则,很明白的, 有这些,一个系统的防御,已经很安全了,接下来全靠本人的分析跟知识了。。。。就一般人正握这些已经很安全了,
    这么跟你说吧, 包括目前,很多的win7 上面能成功注入的病毒病不多,  而在xp 上面,那么你可以用一个路径策略或者是散列策略对explorer进行设置为基本权限运行也能防住对explorer的注入。。。 如果要差具体的注入还的借助一些小工具的。。。内核级的, 很复杂的一个系统,真不好解释这些。。。我能告知的也就是利用mcafee 防。。。仅此而已,但愿能帮到你。。。

评分

参与人数 1人气 +1 收起 理由
shiyuelaohu + 1 感谢解答: )

查看全部评分

依班娜
 楼主| 发表于 2013-7-15 19:27:15 | 显示全部楼层
jml521m 发表于 2013-7-15 12:24
在win7 下注入explorer  基本上是不可能的, xp 下面比较容易,排开系统不谈,而谈注入,基本上是牛头 ...

上次火狐的抓到的GAPZ注入,我测了一下,似乎是直接对进程里的explorer进行修改内存
使之直接执行自己要做的命令,用MD似乎检测到对explorer的读操作,看来也并不是调用某个系统进程再进行注入,而且MD对其阻止还失败了

我测样本的环境是XP X32
我要写些的规则只是用访问保护测毒罢了,并不是要用到防御上去,我知道用有AD的会更加全面和方便
我用访问保护只是闲得慌而已……
jml521m
发表于 2013-7-15 20:40:19 | 显示全部楼层
依班娜 发表于 2013-7-15 19:27
上次火狐的抓到的GAPZ注入,我测了一下,似乎是直接对进程里的explorer进行修改内存
使之直接执行自己要 ...

早已经退出 xp时代了.... 只能说爱莫能助了...
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 20:55 , Processed in 0.126243 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表