用穿SD275的样本测试辛巴影子卫士1.5.6技术预览版

显示全部楼层 · 发表于 2008-11-7 12:06:57

本帖最后由 107 于 2010-12-21 21:10 编辑

拷贝一份userinit.JPG

第一步，在干净的测试环境中，拷贝一份C:\windows\system32\userinit.exe到D:\

userinit.md5.JPG

创建一个md5验证文件，以便后面验证D盘的userinit.exe是否被修改

影子模式保护模式.JPG

启动辛巴影子卫士，并且在保护模式下面

测试样本.JPG

这是测试样本，就是穿SD275的那个样本

样本已经运行.JPG

运行样本a220.exe

貌似没有病毒的驱动被安装.JPG

用autoruns看看，系统没有明显的变化，但是不是被穿透，要重启后才知道

userini内容还一样.JPG

比较一下，文件没变化

病毒线程.JPG

这是运行中的样本的线程

=====================================================
下面重启系统

重启系统.JPG

系统重启后没出现system.exe之类的进程，但我们还要看一下userinit.exe有没有被修改

打开真实系统盘.JPG

启动桌面上的"原始系统盘(只读)"，再次比较userinit.exe是否被修改

重启后userinit内容一致.JPG

嗯。真正的磁盘上的userinit.exe确实没有改变

D盘的userinit没有改变.JPG

D盘的文件也没有改变，说明我们比较的依据一直是正确的。

嘿嘿，欢迎大家做类似的测试！

[ 本帖最后由 simbatek 于 2008-11-7 12:14 编辑 ]

显示全部楼层 · 发表于 2008-11-7 12:16:53

我觉得运行病毒后加载驱动的过程是不是再详细点啊，呵呵

显示全部楼层 · 发表于 2008-11-7 12:44:08

最近时间紧没分析过这个样本
如果周末有时间的话，我会写一个关于这个样本的分析报告
目前这个测试仅是表达一个信号：辛巴影子卫士已经可以对抗病毒的穿透了
有点标题党的味道

我试过将论坛上所有的穿透样本混在一起跑，还没出现被穿情况，有点夸张的意思，欢迎大家质疑、攻击

[ 本帖最后由 simbatek 于 2008-11-7 12:45 编辑 ]

显示全部楼层 · 发表于 2008-11-7 13:04:35

不是采用的磁盘过滤驱动，所以不会被机器狗穿透……
如果其他程序能够和你的内核驱动通信的话，估计

显示全部楼层 · 发表于 2008-11-7 13:15:03

在目前这个阶段辛巴影子卫士是一个后来者，存在一个优势，就是不出名，病毒还没有盯上辛巴。
woods12345也很我说了，辛巴影子卫士缺少自我保护。
下一阶段，会把宋版和木头的建议加进去，增加与驱动通信的认证，还有进程的自我保护
多谢宋版！

显示全部楼层 · 发表于 2008-11-7 13:17:05

这个版本好像限制了物理硬盘访问？
WinHEX的打开物理磁盘功能貌似不能用了……

显示全部楼层 · 发表于 2008-11-7 13:21:46

原帖由 SONGBOWEN 于 2008-11-7 13:17 发表
这个版本好像限制了物理硬盘访问？
WinHEX的打开物理磁盘功能貌似不能用了……

嗯。操作物理磁盘太危险了。

显示全部楼层 · 发表于 2008-11-7 13:25:21

我想以后把辛巴集成部分HIPS的功能。
支持规则，可以设置哪些是可以访问、哪些直接拒绝

不知道大家觉得怎么样？

显示全部楼层 · 发表于 2008-11-7 13:30:29

原帖由 simbatek 于 2008-11-7 13:25 发表
我想以后把辛巴集成部分HIPS的功能。
支持规则，可以设置哪些是可以访问、哪些直接拒绝

不知道大家觉得怎么样？

不适合菜鸟……
看你打算面向哪一类用户群……
如果面向电脑入门级玩家，不建议搞成这样，如果是面向高手，又没有必要……

显示全部楼层 · 发表于 2008-11-7 13:37:11

原帖由 SONGBOWEN 于 2008-11-7 13:30 发表

不适合菜鸟……
看你打算面向哪一类用户群……
如果面向电脑入门级玩家，不建议搞成这样，如果是面向高手，又没有必要……

我想做成每种用户都可以在这软件里面找到自己合适使用习惯。
操作简单，满足不了高级用户的功能需求
操作复杂，普通用户接受不了
是一个度的把握问题

长路漫漫啊

显示全部楼层 · 发表于 2008-11-7 14:16:00

搞个高中低

显示全部楼层 · 发表于 2008-11-7 14:39:31

我觉得可以添加hips功能，但最好是属于可选功能，默认最好还是普通就可以了。

显示全部楼层 · 发表于 2008-11-7 14:41:44

嗯。两种模式，默认面向普通用户，同时可以让高阶用户以稍复杂的操作满足自身需求

显示全部楼层 · 发表于 2008-11-7 14:47:53

不过hips这个我个人觉得不急，主要把本身先完善好，然后再大力搞排除功能。如果安全上跟目前各类影子差不多的话，再搞好强大排除功能，那还不是前程似锦一片光明

显示全部楼层 · 发表于 2008-11-7 14:51:52

原帖由 肉包子 于 2008-11-7 14:47 发表
不过hips这个我个人觉得不急，主要把本身先完善好，然后再大力搞排除功能。如果安全上跟目前各类影子差不多的话，再搞好强大排除功能，那还不是前程似锦一片光明

呵呵。说得对。
对抗穿透本来不在我的开发计划里面。
排除是下一阶段的重点。

显示全部楼层 · 发表于 2008-11-7 14:54:17

强烈支持，最好有影子持续功能。

显示全部楼层 · 发表于 2008-11-7 15:26:33

原帖由 simbatek 于 2008-11-7 14:51 发表

呵呵。说得对。
对抗穿透本来不在我的开发计划里面。
排除是下一阶段的重点。

做还原，不对抗穿透，除非使用环境是内部网络，或者有强悍的防火墙。。。

显示全部楼层 · 发表于 2008-11-7 15:32:26

原帖由 jmzz 于 2008-11-7 15:26 发表

做还原，不对抗穿透，除非使用环境是内部网络，或者有强悍的防火墙。。。

做一个东西就会思维定势，来卡饭后才发现辛巴的对抗穿透是空白的。

显示全部楼层 · 发表于 2008-11-7 15:32:58

支持，防穿透是影子的基础，在这基础上再搞排除

显示全部楼层 · 发表于 2008-11-7 15:53:15

我个人支持做不防穿透的版本，但是要有持续功能，而且有防死机功能，明摆着那么多影子在较量防穿透，何苦自找麻烦，独辟蹊径才能有发展，鸡蛋碰石头的事最好不做，就当一个保持系统干净和测试正当软件的用途的影子

[讨论] 用穿SD275的样本测试辛巴影子卫士1.5.6技术预览版