关于网络病毒自动运行的讨论

HEMM

导演AZ 发表于 2016-4-4 12:25
就是其他软件调用dll 就把要调用的dll装在自己的内存里 然后自己执行
我想了解的是 程序（系统程序 非系 ...

= =我头好痛好晕.....
只有32没有64.....16......你是说Rundll.exe？？？新系统内没有的......只有32。
至于其他不懂........没学过......
头好痛的说，好像要炸裂了
下了.......感觉我需要睡一下。

电脑发烧友

导演AZ 发表于 2016-4-4 12:25
就是其他软件调用dll 就把要调用的dll装在自己的内存里 然后自己执行
我想了解的是 程序（系统程序 非系 ...

具体我也不太懂，不过rundll16.exe是病毒进程没跑了——百度百科。
   我问了问，他说不一定要通过rundll32.exe，不过大部分基础库在这里封装。其他的容我再问问，知道了之后告诉你

后记：

调用是直接loadlibrary装到内存里的

rundll32.exe呢？

没搞过这个exe，不过感觉也是loadlibrary然后getprocaddress获得函数地址，然后执行该函数
一般动态调用都这个规则

后后记：




还真是。
@HEMM
@HEMM 怎么不蓝啊

导演AZ

电脑发烧友 发表于 2016-4-4 12:54
具体我也不太懂，不过rundll16.exe是病毒进程没跑了——百度百科。
   我问了问，他说不一定要通 ...

猴赛雷  我觉得rundll只是运行系统的dll 不会管其他的dll
劫持应该就发生在系统dll里
注入那边都能发生


这代码什么意思啊  我就知道好像是在这个rundll得到地址？？求详解

kxmp

柯林 发表于 2016-3-31 16:23
跟那个没有关系，这只是个常识讨论题，看下网络病毒的入侵过程以及可供选择的防御手段。
他们说的ring3 ...

你忘了r3提权

天月来了

说到底在浏览网页的时候，你用于浏览的那个程序作为父进程，必须严格控制其子进程。即不允许作为父进程的浏览器程序去随意执行任意不明程序，这任意不明也包括微软Windows的程序，因为脚本类是依赖微软自身的某些程序执行的。因此父进程执行的子进程命令都必须过滤掌控。

也就是子进程的规则中的命令行参数的规则超重要的呢，过滤的越细越好。

天月来了

至于利用漏洞在没有明显子进程的情况下去执行某些其他的服务什么的。那就不讨论了，因为漏洞这玩意层出不穷，哪家HIPS软件能死命去跟上那些个变化呢。不累死么。

HEMM

电脑发烧友 发表于 2016-4-4 12:54
具体我也不太懂，不过rundll16.exe是病毒进程没跑了——百度百科。
   我问了问，他说不一定要通 ...

你开心就好= =，我正忙着毛豆和EMET打架善后问题，原本拦截的不拦截了，正在头疼中....
也不知道那个环节出错了，卸载了EMET好像还是那样，规则没掉，也没做改动，偶尔又是拦截的= =，搞不懂。
关闭D+的时候，EMET很快就图标进程都显现出来了，开着D+的时候要等一会儿EMET才出来......
又感觉不是EMET的问题......呃.......纠结，规则好不容易写好了，又卸载了，重新安装写规则好累的说.........

ice2016

小白 咨询一下各位大大 几个问题：

1.例如过去发生的那些蠕虫病毒之类的 ：lpk.dll-usp10.dll 病毒 Win32.Parite
linkinfo.dll 之类的  。。。。。如果我用的是XP系统··是不是把XP的系统补丁打全就不会感染了？【WIN7 系统下会感染N年前的病毒 蠕虫么？】如何在裸奔情况下 预防感染这些病毒 蠕虫呢？

2。关于各种木马，是不是可以理解为 肯定是需要一个父进程去执行的 · 也就是比如浏览网页挂马··或者打开软件带有捆绑木马···都会有新建进程的？或者会提示某进程 要执行一个命令？

3.我用的是天月大大 推荐的 http://bbs.kafan.cn/thread-444155-1-1.html  天琊进程监控

我把常用的软件放到白名单，其他的手动选择允许或者禁止···是不是就可以防范 楼主大大说的那些各种木马的运行？
@天月来了 @柯林 @HEMM




cmd.exe，wscript.exe cscript.exe, hh.exe, powershell.exe, powershell_ise.exe, wscript.exe   把这些重点监控 ···只要跳出来提示这些要执行什么命令就禁止！！！是不是就可以防止各种马儿运行啦？

-----------------------


追加一个问题哈


对于HIPS玩家来说，禁止压缩软件、cmd.exe，wscript.exe之类执行?:\Users\*基本上就是秒杀，或者禁止cscript.exe, hh.exe, powershell.exe, powershell_ise.exe, wscript.exe之类联网也是很好的阻截措施

cscript.exe, hh.exe, powershell.exe, powershell_ise.exe, wscript.exe  如果我是裸奔状态··也没用HIPS！！！
我把这几个EXE的权限  都设置成拒绝···是不是也是有效果的呢？



----------------

楼主大大文中提到的  

禁止浏览器执行%Temp%与下载目录，很多网马也就变化石了，所以禁止explorer.exe执行%Temp%也是必要的禁止压缩软件执行%Temp%\*，

如果没有装HIPS，
有别的办法禁止 浏览器执行%Temp%与下载目录，禁止explorer.exe执行%Temp%，禁止压缩软件执行%Temp%\*  么？？

小白真心求教····

syoyoukun

没开hips只用沙盘的小白看得心惊肉跳。