收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 虚拟机讨论区 SD260的防狗。。。不會是這樣吧?!
12345
返回列表 发新帖
楼主: spiha
 收起左侧

[求助] SD260的防狗。。。不會是這樣吧?!

 关闭 [复制链接]
kgdydyygy
发表于 2008-6-19 23:30:41 | 显示全部楼层
LZ很认真啊,
回复

举报

jmzz
发表于 2008-6-20 10:14:12 | 显示全部楼层
原帖由 spiha 于 2008-6-11 21:03 发表
楼上就不用乱入了

我hook一个ZwLoadDriver就可以弄死全部机器狗和这类东西了

主要。。 还是SD自己能不能防

你拿DW去防不能说明什么。。


HOOK之后的做的操作是什么呢?使用黑名单还是白名单?

对于黑名单,因为有随机生成驱动的病毒出现,不适用。
对于白名单,估计更不适用了。
回复

举报

spiha
头像被屏蔽
 楼主| 发表于 2008-6-20 19:19:14 | 显示全部楼层
当然是白名单。。

至于实现这个的已经很多了 360驱动防火墙(囧)

HintSecu.sys
genfs.sys
hintFD.sys
hintgame.sys
Hintidisk.sys
iDisk.sys
porttalk.sys
xsVF.sys
http.sys
ipnat.sys
kmixer.sys
MSKSSRV.sys
MSPCLOCK.sys
MSPQM.sys
null.sys
rdpdd.dll
splitter.sys
sr.sys
srv.sys
tdtcp.sys
tsddd.dll
usb8023.sys
usbcamd.sys
usbcamd2.sys
usbd.sys
usbehci.sys
usbhub.sys
usbintel.sys
usbport.sys
usbuhci.sys
http.sys
ipnat.sys
kmixer.sys
MSKSSRV.sys
MSPCLOCK.sys
MSPQM.sys
null.sys
rdpdd.dll
splitter.sys
srv.sys
tdtcp.sys
tsddd.dll
usb8023.sys
usbcamd.sys
usbcamd2.sys
usbd.sys
usbehci.sys
usbhub.sys
usbintel.sys
usbport.sys
usbuhci.sys
http.sys
ipnat.sys
kmixer.sys
MSKSSRV.sys
MSPCLOCK.sys
MSPQM.sys
null.sys
rdpdd.dll
splitter.sys
sr.sys
srv.sys
tdtcp.sys
tsddd.dll
usb8023.sys
usbcamd.sys
usbcamd2.sys
usbd.sys
usbehci.sys
usbhub.sys
usbintel.sys
usbport.sys
usbuhci.sys
fastfat.sys
scsiport.sys
usbVM31b.sys
KeyCrypt.sys
360Killer.sys
asyncmac.sys
ATMFD.DLL
CCDECODE.sys
Fastfat.SYS
flpydisk.sys
GAMESGXP.SYS
genfs.sys
genxs.sys
hintFD.sys
hintgame.sys
Hintidisk.sys
hintroot.sys
HintSecu.sys
HookCont.sys
HookNtos.sys
HookReg.sys
HookSys.sys
iDisk.sys
idnaux.sys
ipnat.sys
KeyCrypt.sys
kmixer.sys
msiscsi.sys
MSKSSRV.sys
MSPCLOCK.sys
MSPQM.sys
MSTEE.sys
NABTSFEC.sys
NdisIP.sys
nic1394.sys
NMnt.sys
NPF.sys
nwlnkspx.sys
portcls.sys
PortTalk.sys
quakedrv.sys
RDPDD.dll
RDPWD.SYS
Roo**m.sys
RsNTGdi.sys
SafeBoxKrnl.sys
SCSIPORT.SYS
SLIP.sys
splitter.sys
sr.sys
srv.sys
ss_bus.sys
StreamIP.sys
swmidi.sys
sysaudio.sys
TSDDD.dll
Udfs.SYS
usbccgp.sys
usbehci.sys
USBSTOR.SYS
usbVM303.sys
vga.dll
vga64k.dll
vga256.dll
WSTCODEC.SYS
cdrom.sys
drmk.sys
fdc.sys
hidusb.sys
intelppm.sys
KeyCrypt.sys
MSKSSRV.sys
MSPCLOCK.sys
MSPQM.sys
nwlnknb.sys
ParVdm.SYS
serial.sys
STREAM.SYS
usbVM31b.sys
usbVM303.sys
aec.sys
ATMFD.DLL
cdrom.sys
fetnd5.sys
flpydisk.sys
HIDCLASS.SYS
HIDPARSE.SYS
HIDPARSE.SYS
hidusb.sys
k750bus.sys
kbdhid.sys
MSKSSRV.sys
MSPCLOCK.sys
MSPQM.sys
NVENETFD.sys
portcls.sys
SafeBoxKrnl.sys
usbohci.sys
USBPORT.SYS
usbVM31b.sys
usbVM303.sys
RDPWD.SYS
TerSafe1.dll
TerSafe2.dll
TerSafe3.dll
TerSafe18.2.dll
TerSafed13.5.dll
TesSafe1.sys
TesSafe2.sys
TesSafe3.sys
TesSafe4.sys
TesSafe5.sys
TesSafe6.sys
CCDECODE.sys
ipnat.sys
kbdhid.sys
MSKSSRV.sys
Rtenicxp.sys
sysaudio.sys
usbVM31b.sys
wdmaud.sys

讯闪的白名单

可以引入特征码 & 禁止白名单文件修改 (通配符的除原生成程序外禁止其他生成)
回复

举报

SONGBOWEN
发表于 2008-6-23 13:02:45 | 显示全部楼层
原帖由 spiha 于 2008-6-20 19:19 发表
当然是白名单。。

至于实现这个的已经很多了 360驱动防火墙(囧)

HintSecu.sys
genfs.sys
hintFD.sys
hintgame.sys
Hintidisk.sys
iDisk.sys
porttalk.sys
xsVF.sys
http.sys
ipnat.sys
kmixer.sys ...


估计要用CRC32或者MD5之类的方式校验一下,否则很容易被伪造……
回复

举报

motocn
发表于 2008-8-11 00:10:48 | 显示全部楼层
DW拦截了cs_reg_fix了啊~

DefenseWall HIPS log file

08.11.2008  00:14:05,模块 C:\WINDOWS\system32\cacls.exe, 企图给 C:\WINDOWS\system32\dllcache\wscript.exe 设置新的安全标志 (文件 )

08.11.2008  00:14:05,模块 C:\WINDOWS\system32\cacls.exe, 企图给 C:\WINDOWS\system32\dllcache\wshext.dll 设置新的安全标志 (文件 )

08.11.2008  00:14:05,模块 C:\WINDOWS\system32\cacls.exe, 企图给 C:\WINDOWS\system32\dllcache\wshom.ocx 设置新的安全标志 (文件 )

08.11.2008  00:14:05,模块 C:\WINDOWS\system32\conime.exe, 企图注入线程输入 C:\WINDOWS\system32\csrss.exe (粉碎)

08.11.2008  00:14:05,模块 C:\WINDOWS\system32\conime.exe, 试图分离线程输入 C:\WINDOWS\system32\csrss.exe (粉碎)

08.11.2008  00:14:06,模块 C:\WINDOWS\system32\conime.exe, 企图注入线程输入 C:\WINDOWS\system32\csrss.exe (粉碎)

08.11.2008  00:14:06,模块 C:\WINDOWS\system32\conime.exe, 试图分离线程输入 C:\WINDOWS\system32\csrss.exe (粉碎)

08.11.2008  00:14:06,模块 C:\WINDOWS\system32\cacls.exe, 企图给 C:\WINDOWS\regedit.exe 设置新的安全标志 (文件 )

08.11.2008  00:14:06,模块 C:\WINDOWS\system32\conime.exe, 企图注入线程输入 C:\WINDOWS\system32\csrss.exe (粉碎)

08.11.2008  00:14:06,模块 C:\WINDOWS\system32\conime.exe, 试图分离线程输入 C:\WINDOWS\system32\csrss.exe (粉碎)

08.11.2008  00:14:06,模块 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe, 企图创建服务 (服务)

08.11.2008  00:14:06,模块 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe, 企图从驱动器 \Device\Harddisk0\DR0 直接读取 (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\conime.exe, 企图注入线程输入 C:\WINDOWS\system32\csrss.exe (粉碎)

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\conime.exe, 试图分离线程输入 C:\WINDOWS\system32\csrss.exe (粉碎)

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

08.11.2008  00:14:07,模块 C:\WINDOWS\system32\cmd.exe, 企图删除文件 C:\Documents and Settings\Administrator\桌面\cs_reg_fix\cs_reg_fix.exe (文件 )

[ 本帖最后由 motocn 于 2008-8-11 00:15 编辑 ]
回复

举报

12345
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-2 21:06 , Processed in 0.102887 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表