一个图给关心注入的人吃点“定心丸'

柯林

清道夫900 发表于 2016-3-29 13:03
好吧，你赢了。

原理上本来就是，新版入沙才会有影响，不入沙就没有一条规则来阻挡，何来卡之说？3系5系纯HIPS，蹦个弹窗出来不卡才怪，像你说的大型软件，连蹦十多个弹窗，一般都失去响应了，除非预先把规则弄得舒舒贴贴。

柯林

深山红叶__ 发表于 2016-3-28 23:51
http://bbs.kafan.cn/thread-1777037-1-1.html
样本是墨家小子的bypass ssf注入，hx1997给的解释。
此帖 ...

具体编程什么的不懂，也不关心，大体看了下资料介绍，inline hook涉及内核，一般需要加驱才行吧，新版win10在内核保护上已经强化，有没有测试过win10特别是64位上的表现？

YSJ

貌似看到好几个大神，我复制粘贴记录一下

柯林

HEMM 发表于 2016-3-29 00:02
默认规则写的是什么我早就忘光了，我安装毛豆的第一件事情就是删光所有规则，签名倒是没删，怕麻烦不敢.. ...

FD上，创建、修改、删除=访问=日志里的“修改文件”，这是毛豆的语言，确实令人不爽
文件操作上的访问不包括读取；内存操作上的访问包括读取与写入；这个又是令人不爽的地方

深山红叶__

柯林 发表于 2016-3-29 13:22
具体编程什么的不懂，也不关心，大体看了下资料介绍，inline hook涉及内核，一般需要加驱才行吧，新版win ...

与驱动无关，全部R3级别操作。

深山红叶__

柯林 发表于 2016-3-29 09:21
此贴说的也是常规手段，那帖子里的在毛豆强化设置后能否防御，需要测试一下看看。

64位win10下简单 ...

那个帖子主楼里我的附件是我的猜测程序，墨家小子的bypass ssf在http://bbs.kafan.cn/thread-1743056-1-1.html

kxmp

除了comodo之外还有啥免费的能防注入的啊

柯林

深山红叶__ 发表于 2016-3-29 17:53
那个帖子主楼里我的附件是我的猜测程序，墨家小子的bypass ssf在http://bbs.kafan.cn/thread-1743056-1-1 ...

64位win10下，刚实机测试了下，没什么用，入沙就废了：




有联网行为：


加启动项什么的全没有，IE打开上网也正常：

深山红叶__

柯林 发表于 2016-3-29 18:15
64位win10下，刚实机测试了下，没什么用，入沙就废了：

当年kxmp好像说64bit下无效。and…为什么测防注入要入沙呢？如果入沙了，测试的东西不是变成防漏沙了吗？

柯林

深山红叶__ 发表于 2016-3-29 18:39
当年kxmp好像说64bit下无效。and…为什么测防注入要入沙呢？如果入沙了，测试的东西不是变成防漏沙了吗？

你们是讲精确拦截啊，这个我就不知道了。以毛豆机制来说，这些东东一入沙就一样作用都没有了，从防毒角度看，毛豆走沙盘防毒路线是正招。对于用户来说，才不管你用什么方法，伤害不到机子就是ok，精确也罢，蛮横也罢，一棍子打死就完了。