Test For Kis8——绕过卡巴2009的测试

深红的雪

无意中发现的
KIS8的注册表监控还是存在问题，存在被绕过的可能
其实方法还是老方法，就是注册表转储
当然这还不是真正意义上的Hive操作（直接操作HIVE不当容易造成注册表配置的损坏）
但要过KIS也够了
虽然卡巴的驱动Hook了相关函数，但看来是白Hook了
由于低受限默认允许了“保存注册表项到文件”，所以如果程序被分到低受限，这种控制就形同虚设
而且即使禁止了“保存注册表项到文件”，程序也可以事先保存好转储文件再释放，一样可以过卡巴


附测试程序
共三个测试


Test1  
修改卡巴HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的注册表启动项


Test2   
Test1的修改版，这次可以过高受限了



Test3   
映像劫持使卡巴无法启动

其实就是之前的欺骗运行的方法（见http://bbs.kafan.cn/thread-326348-1-1.html），事实上这种欺骗的意义并不在运行程序本身，而是这种欺骗可以绕过卡巴的继承机制，这样危害就大了
例如本测试程序就利用了Reg命令修改了IFEO，重启后卡巴无法启动
注：这种方法在Vista失效


事实上卡巴的注册表监控被绕过意味着什么？——病毒可以利用注册表做任何事
以上的测试所做成的更改都是可以恢复的（请自己手动完成），而且不会对系统构成任何损害，可以放心测试

当然也不排除只是我个别情况，大家可以试试

[ 本帖最后由 rappar 于 2008-9-27 21:31 编辑 ]

dragonyyy

支持一下，现在杀咔吧9的N多`不是奇怪事情

wangjay1980

关于TEST3，官方说已经FIX，不过不知道是不是说下个版本FIX

aribeth199

卡巴的Hips还不是很完善，功能提升了，问题也多了。

wangjay1980

TEST1貌似在我这里失败了,我的规则是阻止

2008-9-26 JAY20:32:33 ByPassKIS8 Allowed: KLPrivateData/FD-D,E/ Create D:\test
2008-9-26 JAY20:32:33 ByPassKIS8 Denied: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/KLSaveRegKey Save registry key to file hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2008-9-26 JAY20:32:36 ByPassKIS8 Denied: KLPrivateData/FD-D,E/ Delete D:\test
2008-9-26 JAY20:32:36 ByPassKIS8 Allowed: KLPrivateData/FD-D,E/ Create D:\test
2008-9-26 JAY20:32:37 ByPassKIS8 Denied: KLPrivateData/FD-D,E/ Delete D:\test

[ 本帖最后由 wangjay1980 于 2008-9-26 20:35 编辑 ]

深红的雪

可能更新HIPS模块比较麻烦吧
Test1的问题影响较大，希望及早补上

TEST1貌似在我这里失败了

我在虚拟机中和实机中测试都可以过

[ 本帖最后由 rappar 于 2008-9-27 17:11 编辑 ]

wangjay1980

下个版本HIPS的防御会更全面，他们现在正在做。KIS9雏形已经存在

深红的雪

程序默认进低受限，Save registry key to file 应该是允许的才对

一楼也说了，而且即使禁止了“保存注册表项到文件”，程序也可以事先保存好转储文件再释放，一样可以过卡巴
只是我偷懒没那样做而已

[ 本帖最后由 rappar 于 2008-9-26 20:40 编辑 ]

wangjay1980

你能做个禁止的吗，到时一并反应给卡巴

深红的雪

明天吧，或者可能要等到国庆才有时间