506版的卡巴HIPS的两个测试（简单叙述）

wangjay1980

可能是我搞错了

我是用它来攻击卡巴的

pluto1313

奇怪，我攻击卡巴的进程也没任何提示，卡巴的主程序界面就这么轻松被当掉了

你测一下在你的系统上攻击其他窗口程序看看卡巴有提示没

wangjay1980

经测试，其它的也能拦截。

2008-11-16 JAY00:31:20 MSG Flood.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLWMSend Send windows messages to another process c:\program files\kaspersky lab\kaspersky internet security 2009\avp.exe

2008-11-16 JAY00:47:07 MSG Flood.exe Terminated: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLWMSend Send windows messages to another process c:\windows\system32\cmd.exe

[ 本帖最后由 wangjay1980 于 2008-11-16 00:49 编辑 ]

pluto1313

重新改了一下设置，除了把发送消息变成询问，其他都允许，这时卡巴又能成功拦截了

[ 本帖最后由 pluto1313 于 2008-11-16 00:55 编辑 ]

浪滔天

卡巴 506 版本（11.14 数字签名），没任何提示，窗口没了，进程正常，点击卡巴图标窗口能再次唤出。其他也一样，没提示。
能否提供卡巴能拦截的测试程序来测试下？

[ 本帖最后由 浪滔天 于 2008-11-16 02:31 编辑 ]

pluto1313

原帖由 浪滔天 于 2008-11-16 02:01 发表
卡巴 506 版本（11.14 数字签名），没任何提示，窗口没了，进程正常，点击卡巴图标窗口能再次唤出。其他也一样，没提示。
能否提供卡巴能拦截的测试程序来测试下？

我相信默认都不会提示，你单独打开MSG Flood.exe这个程序在卡巴中的设置页面，切换的Rights，设置Send Messages to other processes为询问，其他的项目全部允许，这样应该就会提示了

浪滔天

测试程序加入的低限制组“发送消息”本来就默认设置为提示，昨天夜里测试的时候没任何提示，今天却有了提示，奇怪。不过即使把“发送消息”设置为“拒绝”，窗口仍能被干掉，包括卡8的窗口，但仅仅是窗口消失，卡巴的进程没受影响，当然如果能充分利用这个漏洞搞出个比较BT的东西来说不定就真的能对卡8干点啥。

[ 本帖最后由 浪滔天 于 2008-11-16 12:54 编辑 ]

pluto1313

原帖由 浪滔天 于 2008-11-16 12:51 发表
测试程序加入的低限制组“发送消息”本来就默认设置为提示，昨天夜里测试的时候没任何提示，今天却有了提示，奇怪。不过即使把“发送消息”设置为“拒绝”，窗口仍能被干掉，包括卡8的窗口，但仅仅是窗口消失，卡巴的 ...

因为卡巴的主线程非主界面的UI，所以AVP.exe没能退出
本程序攻击的仅破坏窗口，只有窗口位于主线程上面进程才会被整个破坏掉

syfwxmh

CLT工具和你编写的程序已经上报

pluto1313

那个洪水消息程序卡巴可以拦截