用穿SD275的样本测试辛巴影子卫士1.5.6技术预览版

显示全部楼层 · 发表于 2008-11-7 12:06:57

本帖最后由 107 于 2010-12-21 21:10 编辑

拷贝一份userinit.JPG

第一步，在干净的测试环境中，拷贝一份C:\windows\system32\userinit.exe到D:\

userinit.md5.JPG

创建一个md5验证文件，以便后面验证D盘的userinit.exe是否被修改

影子模式保护模式.JPG

启动辛巴影子卫士，并且在保护模式下面

测试样本.JPG

这是测试样本，就是穿SD275的那个样本

样本已经运行.JPG

运行样本a220.exe

貌似没有病毒的驱动被安装.JPG

用autoruns看看，系统没有明显的变化，但是不是被穿透，要重启后才知道

userini内容还一样.JPG

比较一下，文件没变化

病毒线程.JPG

这是运行中的样本的线程

=====================================================
下面重启系统

重启系统.JPG

系统重启后没出现system.exe之类的进程，但我们还要看一下userinit.exe有没有被修改

打开真实系统盘.JPG

启动桌面上的"原始系统盘(只读)"，再次比较userinit.exe是否被修改

重启后userinit内容一致.JPG

嗯。真正的磁盘上的userinit.exe确实没有改变

D盘的userinit没有改变.JPG

D盘的文件也没有改变，说明我们比较的依据一直是正确的。

嘿嘿，欢迎大家做类似的测试！

[ 本帖最后由 simbatek 于 2008-11-7 12:14 编辑 ]

显示全部楼层 · 发表于 2008-11-7 12:16:53

我觉得运行病毒后加载驱动的过程是不是再详细点啊，呵呵

显示全部楼层 · 发表于 2008-11-7 12:44:08

最近时间紧没分析过这个样本
如果周末有时间的话，我会写一个关于这个样本的分析报告
目前这个测试仅是表达一个信号：辛巴影子卫士已经可以对抗病毒的穿透了
有点标题党的味道

我试过将论坛上所有的穿透样本混在一起跑，还没出现被穿情况，有点夸张的意思，欢迎大家质疑、攻击

[ 本帖最后由 simbatek 于 2008-11-7 12:45 编辑 ]

显示全部楼层 · 发表于 2008-11-7 13:04:35

不是采用的磁盘过滤驱动，所以不会被机器狗穿透……
如果其他程序能够和你的内核驱动通信的话，估计

显示全部楼层 · 发表于 2008-11-7 13:15:03

在目前这个阶段辛巴影子卫士是一个后来者，存在一个优势，就是不出名，病毒还没有盯上辛巴。
woods12345也很我说了，辛巴影子卫士缺少自我保护。
下一阶段，会把宋版和木头的建议加进去，增加与驱动通信的认证，还有进程的自我保护
多谢宋版！

显示全部楼层 · 发表于 2008-11-7 13:17:05

这个版本好像限制了物理硬盘访问？
WinHEX的打开物理磁盘功能貌似不能用了……

显示全部楼层 · 发表于 2008-11-7 13:21:46

原帖由 SONGBOWEN 于 2008-11-7 13:17 发表
这个版本好像限制了物理硬盘访问？
WinHEX的打开物理磁盘功能貌似不能用了……

嗯。操作物理磁盘太危险了。

显示全部楼层 · 发表于 2008-11-7 13:25:21

我想以后把辛巴集成部分HIPS的功能。
支持规则，可以设置哪些是可以访问、哪些直接拒绝

不知道大家觉得怎么样？

显示全部楼层 · 发表于 2008-11-7 13:30:29

原帖由 simbatek 于 2008-11-7 13:25 发表
我想以后把辛巴集成部分HIPS的功能。
支持规则，可以设置哪些是可以访问、哪些直接拒绝

不知道大家觉得怎么样？

不适合菜鸟……
看你打算面向哪一类用户群……
如果面向电脑入门级玩家，不建议搞成这样，如果是面向高手，又没有必要……

显示全部楼层 · 发表于 2008-11-7 13:37:11

原帖由 SONGBOWEN 于 2008-11-7 13:30 发表

不适合菜鸟……
看你打算面向哪一类用户群……
如果面向电脑入门级玩家，不建议搞成这样，如果是面向高手，又没有必要……

我想做成每种用户都可以在这软件里面找到自己合适使用习惯。
操作简单，满足不了高级用户的功能需求
操作复杂，普通用户接受不了
是一个度的把握问题

长路漫漫啊

[讨论] 用穿SD275的样本测试辛巴影子卫士1.5.6技术预览版