查看: 2771|回复: 9
收起左侧

[讨论] 设备管道

[复制链接]
ysj963
发表于 2017-3-31 10:59:13 | 显示全部楼层 |阅读模式
本帖最后由 ysj963 于 2017-3-31 11:02 编辑

请问下 这下面哪些接口是有必要真的去保护的?ESETHIPS可用这样的规则吗,应该写成什么形式?
设备管道分类   
基本接口  
  \Device\KsecDD  
\Device\NamedPipe\lsarpc
\Device\MountPointManager
\Global??\FltMgrMsg
\Global??\FltMgr  
服务接口   
   \Device\NamedPipe\wkssvc  
\Device\NamedPipe\srvsvc
\Device\NamedPipe\net\NtControlPipe*
\Device\NamedPipe\svcctl
\Device\NamedPipe\keysvc
\Device\NamedPipe\msgsvc
\Device\NamedPipe\llsrpc
\Device\NamedPipe\scerpc  
\Device\NamedPipe\winlogonrpc  
设备与数据接口   
  \Device\*CdRomA*
\Device\STORAGE#Volume*
\Device\WMIDataDevice
\Device\shadow
  \Device\NamedPipe\ShimViewer
\Device\NamedPipe\DAV RPC SERVICE
\DosDevices\Pipe\*   
其它设备管道      \Device\RasAcd  
\Device\NamedPipe\nddeapi
\Device\NamedPipe\browser
\Device\NamedPipe\samr
  \Device\VolumesSafeForWriteAccess   
网络接口      
\RPC Control\DNSResolver
\Device\NamedPipe\ROUTER
\Device\NetBT_Tcpip*
\Device\Tcp
\Device\Tcp6

\Device\Udp
\Device\Udp6
\Device\Ip
\Device\Ip6
\Device\Icmp \Device\Icmp6   
伪com接口 - 特控端口   
*\RPC Control\trkwks
*\RPC Control\ntsvcs
*\RPC Control\lsapolicylookup
*\RPC Control\LSARPC_ENDPOINT
*\RPC Control\LSMApi
*\RPC Control\lsasspirpc   
HEMM
发表于 2017-3-31 13:59:10 | 显示全部楼层
比我抄.....不是!是比我学的内容还多........
\Global??\FltMgrMsg和\Device\KsecDD......会不会严格了点??
ysj963
 楼主| 发表于 2017-3-31 14:05:42 | 显示全部楼层
本帖最后由 ysj963 于 2017-3-31 14:08 编辑
HEMM 发表于 2017-3-31 13:59
比我抄.....不是!是比我学的内容还多........
\Global??\FltMgrMsg和\Device\KsecDD......会不会严 ...


听你这么一说  需要去掉。我都怀疑ESET的HIPS不支持这个玩意的写法。都要绝对路径才行。
ysj963
 楼主| 发表于 2017-3-31 14:16:15 | 显示全部楼层
本帖最后由 ysj963 于 2017-3-31 14:19 编辑
HEMM 发表于 2017-3-31 13:59
比我抄.....不是!是比我学的内容还多........
\Global??\FltMgrMsg和\Device\KsecDD......会不会严 ...


貌似我在system32下的drivers文件夹里找到QQprotect 驱动了,是不是说只要加载驱动就必须写入这个文件夹才行呢?这样就好防御了。我在QQ和百度安装文件夹里都没找到SYS文件。但是网上说这是备份文件夹,搞不清实现先入备份还是先加载。
fireherman
发表于 2017-3-31 18:16:46 | 显示全部楼层
ysj963 发表于 2017-3-31 14:16
貌似我在system32下的drivers文件夹里找到QQprotect 驱动了,是不是说只要加载驱动就必须写入这个文件 ...



ESET的HIPS只支持FD,AD,RD,你需要Comodo,这样才能用ND规则。

ysj963
 楼主| 发表于 2017-3-31 19:33:48 | 显示全部楼层
fireherman 发表于 2017-3-31 18:16
ESET的HIPS只支持FD,AD,RD,你需要Comodo,这样才能用ND规则。

嗯 ,我就觉得不太对。对了,大神,64位下ESEThips有哪些功能是被限制了吗?比如加驱 ,挂钩子,键盘钩子屏幕截图、图片木马之类的 hips还能搞吗?我看我的ESET进程也不是32的。
zhousulin5
发表于 2017-4-1 10:52:13 | 显示全部楼层
ysj963 发表于 2017-3-31 14:16
貌似我在system32下的drivers文件夹里找到QQprotect 驱动了,是不是说只要加载驱动就必须写入这个文件 ...

windows系统推荐的驱动文件夹是这里。但是不是说必须要写入这里的文件才能被当作驱动来对待,也不是说只有后缀是sys的文件才是驱动文件。所以,想单从FD的角度来防恶意驱动是不行的,必须要跟RD配合,因为在注册表里驱动的位置相对来说是确定的。
“备份文件夹”可能是你记错了吧。
ylmfhhh
发表于 2017-4-1 11:43:39 | 显示全部楼层
牛逼
ysj963
 楼主| 发表于 2017-4-1 12:05:45 | 显示全部楼层
zhousulin5 发表于 2017-4-1 10:52
windows系统推荐的驱动文件夹是这里。但是不是说必须要写入这里的文件才能被当作驱动来对待,也不是说只 ...

备份文件夹是网上说的 ,我想应该是大写的DRIVERS那个吧
ysj963
 楼主| 发表于 2017-4-1 13:19:12 | 显示全部楼层
fireherman 发表于 2017-3-31 18:16
ESET的HIPS只支持FD,AD,RD,你需要Comodo,这样才能用ND规则。

大神 ,防添加新用户和提权应该注意哪些地方?还有我上次问的加驱和钩子是不是ESET的HIPS在64位上实现不了?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 01:30 , Processed in 0.132115 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表