查看: 3451|回复: 12
收起左侧

[新手上路] 一个简单的 NTFS 权限控制保护测试。

[复制链接]
ELOHIM
发表于 2017-10-10 22:16:18 | 显示全部楼层 |阅读模式
本帖最后由 ELOHIM 于 2017-10-10 22:17 编辑

直接切正题。

OS 名称:          Microsoft Windows XP Professional
OS 版本:          版本 5.1 (内部版本号 2600.xpsp_sp3_qfe.170427-1622:Service Pack 3)
OS 制造商:        Microsoft Corporation
OS 配置:          独立工作站

将安全软件 Symantec Endpoint Protection 12.1.6 MP8(SEP)
和 Windows Intune Endpoint Protection 4.4.304.0(WIEP)全部禁用。
注释:SEP默认安装,带有反病毒组件。

将样本(两款安全软件都可以查杀)解压至目标文件夹内。设置NTFS权限如下:
取消继承,删除所有用户的所有操作权限。





双击文件夹,已经被拒绝:


首先使用 SEP扫描,结果如下:

下面使用WIEP扫描,结果如下:






此时恢复 NTFS 权限,目标文件夹内已被清空。
以上,仅供参考。   
欢迎质疑并跟进测试。
注释:此次测试并未更改文件夹的所有者权限。
样本如下:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
jone_jys
头像被屏蔽
发表于 2017-10-11 08:33:31 | 显示全部楼层
也只有微软的wd才能有权限访问了。试了MES同样无法访问查杀。

这个样本wd监控不报,右扫报了。监控和扫描的级别还不一样啊。
ELOHIM
 楼主| 发表于 2017-10-11 10:46:25 | 显示全部楼层
jone_jys 发表于 2017-10-11 08:33
也只有微软的wd才能有权限访问了。试了MES同样无法访问查杀。

这个样本wd监控不报,右扫报了。监控和扫 ...

MES 是麦咖啡吗?

扫描的话,WD貌似可以脱机扫描,bootsector扫描,等等多种。
可以调用服务器端资源进行鉴定。使用启发技术。使用信誉鉴定。使用用户设置的策略鉴定。

监控的话,我个人理解的是,只要有读写操作才行。如果没有发现,或者发现不了读写行为,那么监控机制就不会生效了。。也就解释了某些情况下,监控不报,扫描报的情形。

昨天咨询一位大神,他说是系统Ring0级别技术 和软件Ring0级别技术的区别导致。  


你手上还有别的杀毒吗?可以测试一下。。
jone_jys
头像被屏蔽
发表于 2017-10-11 11:43:01 | 显示全部楼层
文件夹设置权限后,除了WD,第三方安软都是无法访问的。应该是除了微软自己有高权限的程序可以访问,其他所有程序包括病毒也都没辙的。

试了迈克菲,火绒都没法访问。

关于安软的监控时有时无的情况,暂且只能用“抽风”来解释了。除了WD有这样的问题,我用过的其他安软同样有此问题。

ELOHIM
 楼主| 发表于 2017-10-11 11:48:03 | 显示全部楼层
jone_jys 发表于 2017-10-11 11:43
文件夹设置权限后,除了WD,第三方安软都是无法访问的。应该是除了微软自己有高权限的程序可以访问,其他所 ...

好的。。

不知道微软有什么黑科技。
... ...
一个大波大佬正在赶来的路上……
见朕骑妓的时刻
头像被屏蔽
发表于 2017-10-11 11:58:25 | 显示全部楼层
ELOHIM 发表于 2017-10-11 11:48
好的。。

不知道微软有什么黑科技。

什么是大波大佬?是不是奶子比女人大的那种
ELOHIM
 楼主| 发表于 2017-10-11 12:11:57 | 显示全部楼层
见朕骑妓的时刻 发表于 2017-10-11 11:58
什么是大波大佬?是不是奶子比女人大的那种

就是技术盖世,观点中肯,人格完善的人。
见朕骑妓的时刻
头像被屏蔽
发表于 2017-10-11 12:23:03 | 显示全部楼层
ELOHIM 发表于 2017-10-11 12:11
就是技术盖世,观点中肯,人格完善的人。

比如说你?
ELOHIM
 楼主| 发表于 2017-10-11 12:48:40 | 显示全部楼层

不对。是你。

你怎么看这个结果??
諾言敵不過時間
发表于 2017-10-11 22:08:31 | 显示全部楼层
只有自己了解自己
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-27 14:36 , Processed in 0.127739 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表