【已实现】利用Eset HIPS防止各家安全软件抢地盘坑害用户

witty606

hx1997 发表于 2014-8-31 20:27
在我这不知道为什么 360UDiskGuard64.dll 没加载到任何进程里，U 盘防护是打开的，也设置了显示 U 盘助手 ...

好的，不过这个问题好奇怪。能加载，总得有个注入点吧，找不到……
u盘助手，我这里检查了是挂到explorer.exe下的

hx1997

witty606 发表于 2014-8-31 20:33
好的，不过这个问题好奇怪。能加载，总得有个注入点吧，找不到……

不一定要有"注入点"，360 的程序可以自行注入。

witty606

hx1997 发表于 2014-8-31 20:34
不一定要有"注入点"，360 的程序可以自行注入。

那系统如何知道启动时要带上它这个dll？不可能没有理由就让它的dll运行起来啊……
我先试试，以前都没碰过这些东西，我只是个人想法。

witty606

hx1997 发表于 2014-8-31 20:27
在我这不知道为什么 360UDiskGuard64.dll 没加载到任何进程里，U 盘防护是打开的，也设置了显示 U 盘助手 ...

有进展了，根据你的提示，我大胆在注册表中用{CC00F81D-5262-450A-B1FA-D6BEE3406263}做关键字搜索，找到的全删，大约有4－5个地方，现在开机不加载u般助手dll了。接下来要排查是哪个项控制启动的……
还有，请教下，注册表里的 * 通配，可以多级吗？其实，我试试就可以了！

hx1997

witty606 发表于 2014-8-31 20:36
那系统如何知道启动时要带上它这个dll？不可能没有理由就让它的dll运行起来啊……
我先试试，以前都没碰 ...

系统启动时总要启动 360 的程序或驱动吧？然后这些程序再进行注入。

就好像 a.exe 在自启动项中，而 a.exe 的功能是启动 b.exe，这样一来系统启动后就会自动启动 a.exe 和 b.exe，而 b.exe 却没有自启动项。

详细的需要另外深入学习。

hx1997

witty606 发表于 2014-8-31 20:51
有进展了，根据你的提示，我大胆在注册表中用{CC00F81D-5262-450A-B1FA-D6BEE3406263}做关键字搜索，找到 ...

不可以，* 不通配 \。

witty606

hx1997 发表于 2014-8-31 20:51
系统启动时总要启动 360 的程序或驱动吧？然后这些程序再进行注入。

就好像 a.exe 在自启动项中，而 a ...

呵呵，搞定了。说说你讲的这个事，a启动b,b是没有启动项。但是a肯定有启动项，在这一例中，我们没有看出来而已，实际上就是注册表里的键值。系统和a之间绝对是有接口的。只是autoruns也没有给出而已。
谢谢你的帮助！

witty606

hx1997 发表于 2014-8-31 20:51
系统启动时总要启动 360 的程序或驱动吧？然后这些程序再进行注入。

就好像 a.exe 在自启动项中，而 a ...

再次感谢！
从此我可以安静舒胆些日子了，当然只限制了启动相关的东西，实际上在文件和注册表里还是留下很多垃圾的。这个不重要，我也不管了。
总结下感想
其实，很多时候有的人很不屑做这样的事，有些人会说开uac，建个受限账户，装一键还原，用影子系统……能提到组策略和applocker的算是挺不错了……
但是对于我来说，都不算好用。我自己的机子，其实装什么都无所谓，不装都可以，用uac就可以，没有也行。
uac好像微软是做给专家级用户玩的，有效果但不好用，有点烦。受限帐户，这个和uac差不多，切换帐号装软件很麻烦，有些东西还是无法运行，解决问题相当麻烦，这个比uac更不好用。
一键还原，隔一段时间重来一次体验之行，什么都重来，只比装系统好点。影子是马上重来，和一键还原差不多。
组策略，确实不错，applocker就更好了。但是同样难以配置，并且容易被攻破。自身也有问题，有些机子无效，applocker的服务还会被优化掉。
HIPS刚开始用，让人的感觉很棒，也是我试过很多方法后最满意的。从在这里开贴，提出设想到实现，整整4天时间。本来是希望大家帮忙一起搞的，基本上都是我自己做的，感谢hx1997提供的帮助！

abc531005

如果使用付费软件，也许不存在类似的问题。

zandalong

请问LZ，组策略里的“软件限制策略”和“应用程序控制策略”的区别在哪？
对于组策略不是很懂。