楼主: 柯林
收起左侧

[砖头] 脑门夹扁奇想--一招制敌术!

[复制链接]
generalbasic008
发表于 2022-2-24 15:28:52 | 显示全部楼层
swizzer 发表于 2022-2-24 15:27
NtLoadDriver啊加载驱动并不是文件/注册表操作

不过,监控Services注册表倒确实可以一定程度上 ...

ESET只能手动监空文件夹,程序,注册表,单独加载驱动防御没效果了,所以我都是在搞手动的。
swizzer
发表于 2022-2-24 15:30:39 | 显示全部楼层
generalbasic008 发表于 2022-2-24 15:28
ESET只能手动监空文件夹,程序,注册表,单独加载驱动防御没效果了,所以我都是在搞手动的。

在Win10上监控注册表确实可以达到防止加驱的效果(不考虑漏洞利用)

不过你监控文件没用。加驱又不一定需要后缀名是sys......

而且ESET的HIPS有几处挂钩都无效了,目前看起来像个漏勺
generalbasic008
发表于 2022-2-24 15:32:42 | 显示全部楼层
swizzer 发表于 2022-2-24 15:30
在Win10上监控注册表确实可以达到防止加驱的效果(不考虑漏洞利用)

不过你监控文件没用。加驱又不一 ...

我只能尽量控制一些高危的,通用行为,比如向drivers文件写入什么的,漏勺也只能将就用了。提权防护也麻烦的,不知道能否执教一番?
swizzer
发表于 2022-2-24 15:35:19 | 显示全部楼层
generalbasic008 发表于 2022-2-24 15:32
我只能尽量控制一些高危的,通用行为,比如向drivers文件写入什么的,漏勺也只能将就用了。提权防护也麻 ...

提权···需要从COM接口上做文章,ESET做不到

当然一些漏洞提权招数倒是可以通过阻止执行系统程序来防止,但是也仅限于很少的一部分漏洞提权行为
generalbasic008
发表于 2022-2-24 15:36:58 | 显示全部楼层
swizzer 发表于 2022-2-24 15:35
提权···需要从COM接口上做文章,ESET做不到

当然一些漏洞提权招数倒是可以通过阻止执行系统 ...

哪些系统程序高危?那在左侧一点,怎么防远控后门之类的?
swizzer
发表于 2022-2-24 15:42:06 | 显示全部楼层
本帖最后由 swizzer 于 2022-2-24 15:43 编辑
generalbasic008 发表于 2022-2-24 15:36
哪些系统程序高危?那在左侧一点,怎么防远控后门之类的?

我已知的有通过执行powershell进行提权的。但是话说回来,非系统程序执行系统程序本来就很危险吧···

防后门远控可以先把一些高危端口给关闭了,然后阻止svchost.exe之外的系统程序联网(系统更新时再取消这个限制)

这样能抵御一部分后门远控。当然嫌太严格了可以着重阻止脚本解释器、Powershell、mshta.exe、msra.exe、hh.exe、regsvr32/rundll32、wermgr.exe和.NET组件程序联网。


但是我的建议是不要尝试靠HIPS防御远控···除非你有足够的技术水平

评分

参与人数 1人气 +1 收起 理由
柯林 + 1 版区有你更精彩: )

查看全部评分

generalbasic008
发表于 2022-2-24 15:47:06 | 显示全部楼层
swizzer 发表于 2022-2-24 15:42
我已知的有通过执行powershell进行提权的。但是话说回来,非系统程序执行系统程序本来就很危险吧· ...

那不靠HIPS,除了防火墙外还有其他什么办法来防止被潜伏的当肉鸡?
swizzer
发表于 2022-2-24 15:50:03 | 显示全部楼层
本帖最后由 swizzer 于 2022-2-24 15:51 编辑
generalbasic008 发表于 2022-2-24 15:47
那不靠HIPS,除了防火墙外还有其他什么办法来防止被潜伏的当肉鸡?

通过内存扫描检测远控相关的恶意代码可能是解决这个问题的一个方法。

而且不是说HIPS无法防御,而是一般用户没那个精力和实力用HIPS干这事儿。

当然,其实你只要阻止添加自启,远控都拿你无可奈何···反正重启后就不运行了。不过如果你是想在post-infection阶段检测,那确实要花点力气
generalbasic008
发表于 2022-2-24 16:01:33 | 显示全部楼层
swizzer 发表于 2022-2-24 15:50
通过内存扫描检测远控相关的恶意代码可能是解决这个问题的一个方法。

而且不是说HIPS无法防御,而是一 ...

那eset正好可以内存杀,而且我用它的hips阻止了注册表全局自启动,主要还有文件夹和任务计划文件夹和相关程序没有设置。说到任务计划 ,有好多个taskscheduler,tasklist,taskschd等等。。研究。。。
柯林
 楼主| 发表于 2022-2-24 16:17:50 | 显示全部楼层
generalbasic008 发表于 2022-2-24 15:11
驱动加载是不是光监控个drivers文件夹还是说释放到system其他文件的sys也算加载驱动,或者说是注册表写入 ...

任何文件形式都可能,正规常见的是sys格式
加驱是AD行为,FD上的阻止只能靠个禁止读取,另据大牛说,拦截注册表服务项注册,也有一定的作用(好像流程是先要注册服务,然后再根据服务项加载驱动的)
单纯靠FD上的防御,并不完整,当然,FD一般相对靠前,弄好了,管住入口,能够避免许多后续问题,这也是坛友们喜欢使用的招数
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 18:27 , Processed in 0.100438 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表