楼主: 柯林
收起左侧

[讨论] 怎样写套简单而又犀利的防毒/测毒规则?(12楼和13楼有参考贴图)

[复制链接]
依班娜
发表于 2014-6-8 18:36:42 | 显示全部楼层

RE: 怎样写套简单而又犀利的防毒/测毒规则?(12楼和13楼有参考贴图)

柯林 发表于 2014-6-8 18:33
印象中 我没玩过这类型的样本  你不说  我都忘了HIPS规则中禁止指定外程序调用rundll32.exe是啥作用了

之前我也纳闷单dll样本怎么测试,下载来才知道lnk的调用运行
柯林
 楼主| 发表于 2014-6-8 18:37:37 | 显示全部楼层
依班娜 发表于 2014-6-8 18:36
之前我也纳闷单dll样本怎么测试,下载来才知道lnk的调用运行

这个还没玩过
你有样本和用法?
依班娜
发表于 2014-6-8 18:41:14 | 显示全部楼层

RE: 怎样写套简单而又犀利的防毒/测毒规则?(12楼和13楼有参考贴图)

柯林 发表于 2014-6-8 18:37
这个还没玩过
你有样本和用法?

不需要用法,双击里面自动的快捷方式,就调用rundll32了
比如 测试.lnk 属性可以看到是指向rundll32.exe 测试.dll(同文件夹下的病毒dll) ssss(某函数)
柯林
 楼主| 发表于 2014-6-8 18:44:56 | 显示全部楼层
依班娜 发表于 2014-6-8 18:41
不需要用法,双击里面自动的快捷方式,就调用rundll32了
比如 测试.lnk 属性可以看到是指向rundll32.exe ...

原来是这样   我记得某些dll样本里面就是个dll

如果这样,那父进程变成rundll32,那可就漏了
qftest
发表于 2014-6-8 19:20:45 | 显示全部楼层
柯林 发表于 2014-6-8 18:44
原来是这样   我记得某些dll样本里面就是个dll

如果这样,那父进程变成rundll32,那可就漏了

父进程不需要是rundll32,那种是很老的利用方法了,太明显。。以前遇到过利用图片浏览器注入的样本,图片浏览器是系统程序、一般规则都是放行的,只要打开图片样本就会被注入svchost.exe等一堆系统进程。。。而且MJ说过现代注入方法根本不需要存在实际的dll文件
柯林
 楼主| 发表于 2014-6-8 19:26:36 | 显示全部楼层
qftest 发表于 2014-6-8 19:20
父进程不需要是rundll32,那种是很老的利用方法了,太明显。。以前遇到过利用图片浏览器注入的样本 ...

这个就不了解了  需要样本和相关测试分析贴  才能知道防御方法以及能不能防住

目前看,不管三七二十一的一刀斩的禁运方式,是最干脆利落的,除非遇到最新技术的东东
qftest
发表于 2014-6-8 19:41:14 | 显示全部楼层
柯林 发表于 2014-6-8 19:26
这个就不了解了  需要样本和相关测试分析贴  才能知道防御方法以及能不能防住

目前看,不管三七二十一 ...

MJ说他在德国的VB2013会议上讲过此类利用方法,当时国外的杀软厂商都听楞了
我也觉得禁运是最偷懒的方法,以不变应万变。。。不过我觉得你把规则搞复杂了,其实象墨池那样搞一下http://bbs.kafan.cn/thread-1564902-1-1.html、最后再加两条自定义——分别防调用windows目录程序和IE浏览器——即可,这样的规则比2楼的更符合主楼的要求,90%那是小意思
柯林
 楼主| 发表于 2014-6-8 19:56:42 | 显示全部楼层
qftest 发表于 2014-6-8 19:41
MJ说他在德国的VB2013会议上讲过此类利用方法,当时国外的杀软厂商都听楞了
我也觉得禁运是 ...

阻止对共享资源的读写访问,究竟包含哪些内容,是不是AD\FD\RD全在内,我不了解,也不去折腾了

求极简,我新帖《简单规则20条》中说的十大规则,已经足够了

=============================================
百分之几,这个都是主观性的,实测最能说明问题,我用这个上样本区实机双击一大堆,没一个能过的,至于简化后的十大规则主打“见谁秒谁”的禁运思想,就更不用讲了(其实用咖啡测毒没意思,那不叫测毒,那叫秒毒)
qftest
发表于 2014-6-8 20:10:51 | 显示全部楼层
柯林 发表于 2014-6-8 19:56
阻止对共享资源的读写访问,究竟包含哪些内容,是不是AD\FD\RD全在内,我不了解,也不去折腾了

求极简 ...

一个合格的禁运党必开“阻止对共享资源的读写访问”,开了这一条可以省掉你2楼一堆与该条规则保护范围重复的规则,具体的规则解释可查阅官方文档
以墨池那帖子3楼的7条规则+我楼上的2条自定义规则=总共9条规则就足以达成主楼目标了,无论是排除量还是禁运效果都杠杠的
柯林
 楼主| 发表于 2014-6-8 20:18:27 | 显示全部楼层
qftest 发表于 2014-6-8 20:10
一个合格的禁运党必开“阻止对共享资源的读写访问”,开了这一条可以省掉你2楼一堆与该条规则保护范围重 ...

有时间去查了看
贴几条这种规则阻止的日志来看看,看它究竟拦了哪些入口(有AD方面的更好)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:57 , Processed in 0.092592 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表