收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 COMODO 实践证明.直接磁盘访问.一些FD动作还是绕不开HIPS监管
返回列表 发新帖
查看: 2723|回复: 9
收起左侧

[讨论] 实践证明.直接磁盘访问.一些FD动作还是绕不开HIPS监管

[复制链接]
anycall9696
头像被屏蔽
发表于 2013-12-1 01:51:53 | 显示全部楼层 |阅读模式
总是有个误区,直接磁盘访问,对FD动作会绕过HIPS的监管,不要笑我什么,多数人这么说,而且大多有关的帖子也是这个意思

今天反复测试,数据最后证明,绕不开,即使允许了直接访问磁盘,动作还是受到HIPS监管的

测试对象是财付通安全控件

对象的路径是C:\Program Files (x86)\Common Files\Tencent\Paycenter,没有其他的多余文件

安装的时候设置为安装和更新,全部允许了

安装之后,把C:\Program Files (x86)\Common Files\Tencent\Paycenter下所有文件,全部隔离,拒绝一切动作,结果和想象的一样,不能运行

看了日志,是阻止了C:\Program Files (x86)\Common Files\Tencent\Paycenter\TenpayServer.exe启动TenpayServer.exe
于是加入例外,允许TenpayServer.exe启动TenpayServer.exe

重启机器,依然不好用,但是日志又多出一条,阻止了TenpayServer.exe直接访问磁盘,那就允许吧,虽然不情愿,但是数字证书已经不能正常使用了,不管什么动作,都要在软件能正常运行的情况下在拒绝,所以放行

允许磁盘访问之后,重启机器,靠,依然不好用,再看日志,又多一项,阻止了TenpayServer.exe修改system32路径下的一个文件,但是不是驱动,是一个没有后缀名的文件,这种文件应该可以允许修改

放行,放行之后,重启,重启之后安全控件可以输入密码了,但是数字证书依然不好用,再看日志,是阻止了一项注册表,然后允许后,整个控件+证书,全部正常了

所以我感觉,直接磁盘访问,并没有绕过HIPS,否则的话,那个system32的文件修改,就不会被HIPS受保护的文件夹/阻止

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

zxyz
发表于 2013-12-1 07:40:22 | 显示全部楼层
请问,楼主用哪个hips软件?
回复

举报

anycall9696
头像被屏蔽
 楼主| 发表于 2013-12-1 10:47:05 | 显示全部楼层
comodo和ESET双HIPS同时使用,相互配合
回复

举报

BBCALL
发表于 2013-12-2 10:42:03 | 显示全部楼层
zxyz 发表于 2013-12-1 07:40
请问,楼主用哪个hips软件?

看楼主的图,还有这是哪个版?
回复

举报

BBCALL
发表于 2013-12-2 10:45:04 | 显示全部楼层
受保护文件的优先级是大於规则,所以这更本不是问题
可见得这版上的玩家很少了

不过,你这样测试是很有心的,值得鼓励
支持+1
回复

举报

BBCALL
发表于 2013-12-2 10:47:04 | 显示全部楼层
anycall9696 发表于 2013-12-1 10:47
comodo和ESET双HIPS同时使用,相互配合

这作法就???

建议研究清楚每一套软件的防御规则
回复

举报

jefffire
头像被屏蔽
发表于 2013-12-2 11:55:57 | 显示全部楼层
略微懂API的就知道不能绕过
回复

举报

anycall9696
头像被屏蔽
 楼主| 发表于 2013-12-2 14:23:28 | 显示全部楼层
本帖最后由 anycall9696 于 2013-12-2 14:25 编辑
BBCALL 发表于 2013-12-2 10:47
这作法就???

建议研究清楚每一套软件的防御规则


不用研究,ESEThips的功能有些comodo做不到,比如某文件,允许修改,允许删除,但是不允许启动,,,eset只需要加入此文件即可,比如IDM反检测的文件,不能用comodo拦截,拦截会报错,拦截就意味着不能修改删除了,但是comodo并没有允许修改允许删除但是唯独禁止运行的选择
回复

举报

BBCALL
发表于 2013-12-4 01:43:23 | 显示全部楼层
本帖最后由 BBCALL 于 2013-12-4 01:45 编辑
anycall9696 发表于 2013-12-2 14:23
不用研究,ESEThips的功能有些comodo做不到,比如某文件,允许修改,允许删除,但是不允许启动,,,es ...


你指的是
http://bbs.kafan.cn/thread-1658713-1-1.html
8F 你自己所发布吧

事实上,根据破解者的说明须针对IDMGrHlp.exe及idmBroker.exe,而其中一个过程是删除IDMGrHlp.exe后利用IEMonitor.exe改成IDMGrHlp.exe替换。

然而,我就是用官方的来源,不用破解,也不用偷天换日的步骤,只须闪过安装注册,并规划好毛豆的规则,因为我讨厌破解后入沙,或来源安全的问题。

我不给IDMBackup.exe启动,因为我懒的去研究如何预防这程序,我只给IDMan.exe启动IEMonitor.exe及ielowutil.exe的权限,也不用删除IDMGrHlp.exe,其他设置得一步步说明,因为还有规则优级别的保护,总之,我一直升级,不用破解,规则中不须对IDMGrHlp.exe做规划(因为它没启动的机会),照样不怕反检。对毛豆来说,如何允许、修改还是删除更本不需要。

回复

举报

anycall9696
头像被屏蔽
 楼主| 发表于 2013-12-4 12:22:17 | 显示全部楼层
BBCALL 发表于 2013-12-4 01:43
你指的是
http://bbs.kafan.cn/thread-1658713-1-1.html
8F 你自己所发布吧

我没有IDM的规则,我也不想为了一个简单的动作去建立一堆规则,我用安全模式,允许了IDM的签名,所以规则里没有IDM,信任了
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-12-29 10:15 , Processed in 0.078050 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表