脑门夹扁奇想--一招制敌术！

generalbasic008

swizzer 发表于 2022-2-24 15:27
NtLoadDriver啊加载驱动并不是文件/注册表操作

不过，监控Services注册表倒确实可以一定程度上 ...

ESET只能手动监空文件夹，程序，注册表，单独加载驱动防御没效果了，所以我都是在搞手动的。

swizzer

generalbasic008 发表于 2022-2-24 15:28
ESET只能手动监空文件夹，程序，注册表，单独加载驱动防御没效果了，所以我都是在搞手动的。

在Win10上监控注册表确实可以达到防止加驱的效果（不考虑漏洞利用）

不过你监控文件没用。加驱又不一定需要后缀名是sys......

而且ESET的HIPS有几处挂钩都无效了，目前看起来像个漏勺

generalbasic008

swizzer 发表于 2022-2-24 15:30
在Win10上监控注册表确实可以达到防止加驱的效果（不考虑漏洞利用）

不过你监控文件没用。加驱又不一 ...

我只能尽量控制一些高危的，通用行为，比如向drivers文件写入什么的，漏勺也只能将就用了。提权防护也麻烦的，不知道能否执教一番？

swizzer

generalbasic008 发表于 2022-2-24 15:32
我只能尽量控制一些高危的，通用行为，比如向drivers文件写入什么的，漏勺也只能将就用了。提权防护也麻 ...

提权···需要从COM接口上做文章，ESET做不到

当然一些漏洞提权招数倒是可以通过阻止执行系统程序来防止，但是也仅限于很少的一部分漏洞提权行为

generalbasic008

swizzer 发表于 2022-2-24 15:35
提权···需要从COM接口上做文章，ESET做不到

当然一些漏洞提权招数倒是可以通过阻止执行系统 ...

哪些系统程序高危？那在左侧一点，怎么防远控后门之类的？

swizzer

generalbasic008 发表于 2022-2-24 15:36
哪些系统程序高危？那在左侧一点，怎么防远控后门之类的？

我已知的有通过执行powershell进行提权的。但是话说回来，非系统程序执行系统程序本来就很危险吧···

防后门远控可以先把一些高危端口给关闭了，然后阻止svchost.exe之外的系统程序联网（系统更新时再取消这个限制）

这样能抵御一部分后门远控。当然嫌太严格了可以着重阻止脚本解释器、Powershell、mshta.exe、msra.exe、hh.exe、regsvr32/rundll32、wermgr.exe和.NET组件程序联网。


但是我的建议是不要尝试靠HIPS防御远控···除非你有足够的技术水平

generalbasic008

swizzer 发表于 2022-2-24 15:42
我已知的有通过执行powershell进行提权的。但是话说回来，非系统程序执行系统程序本来就很危险吧· ...

那不靠HIPS，除了防火墙外还有其他什么办法来防止被潜伏的当肉鸡？

swizzer

generalbasic008 发表于 2022-2-24 15:47
那不靠HIPS，除了防火墙外还有其他什么办法来防止被潜伏的当肉鸡？

通过内存扫描检测远控相关的恶意代码可能是解决这个问题的一个方法。

而且不是说HIPS无法防御，而是一般用户没那个精力和实力用HIPS干这事儿。

当然，其实你只要阻止添加自启，远控都拿你无可奈何···反正重启后就不运行了。不过如果你是想在post-infection阶段检测，那确实要花点力气

generalbasic008

swizzer 发表于 2022-2-24 15:50
通过内存扫描检测远控相关的恶意代码可能是解决这个问题的一个方法。

而且不是说HIPS无法防御，而是一 ...

那eset正好可以内存杀，而且我用它的hips阻止了注册表全局自启动，主要还有文件夹和任务计划文件夹和相关程序没有设置。说到任务计划 ，有好多个taskscheduler,tasklist,taskschd等等。。研究。。。

柯林

generalbasic008 发表于 2022-2-24 15:11
驱动加载是不是光监控个drivers文件夹还是说释放到system其他文件的sys也算加载驱动，或者说是注册表写入 ...

任何文件形式都可能，正规常见的是sys格式
加驱是AD行为，FD上的阻止只能靠个禁止读取，另据大牛说，拦截注册表服务项注册，也有一定的作用（好像流程是先要注册服务，然后再根据服务项加载驱动的）
单纯靠FD上的防御，并不完整，当然，FD一般相对靠前，弄好了，管住入口，能够避免许多后续问题，这也是坛友们喜欢使用的招数