一个图给关心注入的人吃点“定心丸'

柯林

新手常被注入什么的吓得半身不遂，以为毛豆弱不禁风，其实哪有那么回事。先看张日志截图：



对于毛豆来讲，反注入，第一有力的手段，是内存保护；第二个是钩子；相关的东东是驱动

只要做好驱动防护，不让陌生程序随便加驱；管好钩子安装，不让陌生程序安装钩子，特别是非系统路径下的钩子；禁止陌生程序访问其他进程（特别是系统主要进程、上网程序如浏览器）的内存。做好这三点，一般是无法注入的。

你要更狠一点，直接拦截病毒文件（exe、scr、com、pif、bat、vbs、dll、sys、js）的生成，之后的所有问题全是空气。

ps：对于利用系统漏洞或软件漏洞甚至于是cpu漏洞，实施的恶意代码注入与攻击，不在这个常规讨论话题之内，那个需要单独讨论

我是UD

还是坚持不做全局性的拦截驱动规则，遇到陌生程序，还是入沙
限制甚至禁止加驱动，要加一堆软件白名单，麻烦

shion

其实现在COMODO在开启HIPS和其他默认设置的时候主要风险基本上就是两种，一种是对待提示万年允许，另一种是文件评级个人判断加白错误或失误，所以中不中毒个人因素成分很大，所以COMODO对很对人来说相对还是难点

电影结束了

注入测试讲道理默认规则够用

导演AZ

来人啊 救驾 朕突然瘫软在地上动不了啦
回皇上 您这是半身不遂 没得治了

HEMM

explorer.exe给的是什么权限？是所有文件访问explorer.exe内存都询问吗？

柯林

HEMM 发表于 2016-3-28 23:28
explorer.exe给的是什么权限？是所有文件访问explorer.exe内存都询问吗？

默认设置，无自保
这个拦截，是因为“禁止安装”这条规则上，禁止了内存访问，上面的放行规则，只放行了合法路径的exe，自然exe之外的所有东东包括非法路径的exe全在管束之列

其实默认沙盘，所有入沙程序，都无法访问沙盘外进程的内存的，如果担心，提高沙盘入沙等级就加强效力

柯林

我是UD 发表于 2016-3-28 21:55
还是坚持不做全局性的拦截驱动规则，遇到陌生程序，还是入沙
限制甚至禁止加驱动，要加一堆软件白名单，麻 ...

这个示例并没有搞全局规则拦截驱动或开疯狂模式，而是安全模式下的拦截（win10智能无忧规则），主打是沙盘，HIPS规则安全模式只是辅助与配合，对易用性差不多是零影响。

深山红叶__

http://bbs.kafan.cn/thread-1777037-1-1.html
样本是墨家小子的bypass ssf注入，hx1997给的解释。
此帖主楼的样本都是常规或类常规方法，可以被拦截，但hx说的inline hook后创建进程实现注入好像真的没几个拦住吧。

HEMM

柯林 发表于 2016-3-28 23:34
默认设置，无自保
这个拦截，是因为“禁止安装”这条规则上，禁止了内存访问，上面的放行规则，只放行了 ...

默认规则写的是什么我早就忘光了，我安装毛豆的第一件事情就是删光所有规则，签名倒是没删，怕麻烦不敢......
嗯..毛豆的这点我依然觉得有点粗，允许了访问等于允许了修改....
沙盘规则我写不好，就写了虚拟化，阻止，允许三个等级，那些什么限制啊弄不懂，没时间玩...就是恶意的阻止，允许的就允许，未知的虚拟化，别的没搞= =