（第三季）智能无忧模式（第一版）

显示全部楼层 · 发表于 2016-3-27 19:39:10

本帖最后由 HEMM 于 2016-3-27 19:40 编辑

柯林发表于 2016-3-27 19:32
无法验证，一般情况下就是报未知，除非内部集成的附带名单有匹配条目，才会判白，跟微软那个SmartScreen ...

哦.......不判断签名？
我这边网络非常不好，很多都是未知的.......开启沙盘会入入入.......主防还会提示恶意恶意恶意......
我先去享乐去了~等会再聊。

显示全部楼层 · 发表于 2016-3-27 19:50:03

本帖最后由柯林于 2016-3-27 19:51 编辑

HEMM 发表于 2016-3-27 19:39
哦.......不判断签名？
我这边网络非常不好，很多都是未知的.......开启沙盘会入入入.......主防还会 ...

无法判定，不能乱定。不确定=未知！

如果它敢整成：不确定=可信！那就是超级大粪草、大漏勺！

至于它的判定机制，是不是简单的看个签名，或是在网络不通的情况下只看签名，这个我就不知道了，需要问官人。

显示全部楼层 · 发表于 2016-3-27 20:03:17

柯林发表于 2016-3-27 18:47
你有白+黑的样本吗？把实验结果贴上来，看看结果

按道理，这个就不是什么问题，黑dll验证为未知，调 ...

就没注意过这个信任评级

那么防注入的进程还是不要给太大权限吧目前就知道explore和svchost这两个常被注入还有没有哪个也是经常被注入的？

rundll32听说是负责把dll放到指定内存让他能例外访问白dll 再例外禁止* 这样应该也能防下不过感觉这方法杯水车薪要把所有的白dll都提出来感觉累啊

目前还是将comodo装在虚拟机里方便学习实机用卡巴斯基

显示全部楼层 · 发表于 2016-3-27 20:14:51

本帖最后由柯林于 2016-3-27 20:29 编辑

导演AZ 发表于 2016-3-27 20:03
就没注意过这个信任评级

那么防注入的进程还是不要给太大权限吧目前就知道explore和svchost这两个常 ...

没那么简单注入的，随随便便就注入，还玩个锤子！普通用户直接忽略掉注入这东东就完了。
要想完成注入，常规手段，通畅需要加驱，安装钩子，远程线程侵入（包括在毛豆的内存访问控制里面），做好你的规则，管好驱动加载、钩子安装，内存访问，拿什么来注入？直接绕过安防软件的监控，实施强行注入，需要利用系统漏洞或安防软件的漏洞，一般人办不到，一般的HIPS玩家也管不了。

对于初级玩家来说，与其跟着人家心慌慌于什么注入，不如做最实惠最简单的：入口防御！——养成好习惯，不自己招鬼贩毒买马，弄规则把病毒挡在机子外！毒都没一个，什么注入，什么破坏，全是画饼充饥，望空意淫！习惯不好，所知有限，真把大毒招来了，后面有的玩和热闹

ps：所谓注入，无非就是模块加载与消息控制，归根结底要有病毒模块，直接把病毒模块（通常是dll或sys）拦住不让生成，还有什么注入？用regsvr32注册也好，注册表里设成系统启动加载模块或公用模块也好，首先必须有病毒dll啊，而且HIPS是一个整体，N多规则联动，不是简单看一处就决定是否出事的，最简单默认沙盘将其入沙，一切行为都是沙盘内的虚拟行为，注入什么，都是假的。

显示全部楼层 · 发表于 2016-3-27 20:29:41

问题一：是不是％ProgramFiles(x86)%\*\*.exe 要改成?:\ProgramFiles(x86)%\*\*.exe
问题二：D:\Program Files\*.exe 是否应为C:\Program Files\*.exe

显示全部楼层 · 发表于 2016-3-27 20:38:29

BBCALL 发表于 2016-3-27 20:29
问题一：是不是％ProgramFiles(x86)%\*\*.exe 要改成?:\ProgramFiles(x86)%\*\*.exe
问题二：D:\Program F ...

1、我这里看日志显示，写％ProgramFiles (x86)%\*\*.exe 是没用的，至于你写的％ProgramFiles(x86)%\*\*.exe 是否可行，你验证下，可能我记错了，是不是应该像你写的，中间不能有个空格？如果无效，还是建议改成?:\ProgramFiles(x86)%\*\*.exe

2、D:\Program Files\*.exe 是指D盘上的，有很多人习惯把软件如游戏之类安装在D盘上，需要有个授权目录来放行，你自己一些小工具，也不便放到C盘的Program Files里，所以需要这个。如果你希望有另外的授权目录，自己加规则，或者希望在E盘或F盘上装软件玩的，继续加E:\Program Files\*.exe与 F:\Program Files\*.exe的规则
C:\Program Files\*.exe已经有了，上面那条%ProgramFiles%\*\*.exe就是

显示全部楼层 · 发表于 2016-3-27 20:53:49

导演AZ 发表于 2016-3-27 18:58
大神儿~规则借我抄一斤，121年后还你~

智能无忧模式是类同当年的抓抓规则，版上就有。HIPS测试340分，不建议使用，柯大这版比较好。

显示全部楼层 · 发表于 2016-3-27 21:00:47

刚玩了一下，270分，CLT执行的位置是随意放，不同处有不同的得分。

显示全部楼层 · 发表于 2016-3-27 21:02:23

本帖最后由 BBCALL 于 2016-3-27 21:05 编辑

刚刚测了一下，270分，测试程序位置非放置在本规则中特别限制的位置。
SupersedeServiceDll应是利用svchost.exe予以启动。慢慢测试中。

显示全部楼层 · 发表于 2016-3-27 21:26:57

本帖最后由柯林于 2016-3-27 21:27 编辑

BBCALL 发表于 2016-3-27 21:02
刚刚测了一下，270分，测试程序位置非放置在本规则中特别限制的位置。
SupersedeServiceDll应是利用sv ...

?:\ProgramFiles(x86)%\*\*.exe这个写C:\Program Files (x86)%\*\*.exe 就可以了

CLT的测试，有些项目，比如注册表方面的，默认的注册表防护项目不予列入，所以纯用HIPS测试，会没通过
以实际使用来说，可以忽略的，因为CLT未知，都入沙了，不管是FD还是RD，都是虚拟化，虚拟的RD通过与拦截，一样的，对实机就没什么伤害，所以270分与实机的340分差不多一样的

沙盘内的拦截，值得测试的是钩子与截图，以及摄像头的调用，有条件请测试下这几个

[其他相关] （第三季）智能无忧模式（第一版）

本帖子中包含更多资源

本帖子中包含更多资源