重大发现！小A有RD了……

hjs

讨论一下，如果在小A的拦截器的额外扩展中加入reg的话，算不算一个RD

拦截所有的注册表修改、删除，创建……

正常的程序我们再进行排除

今晚回家试试。

大家先讨论，继续上班，8

[ 本帖最后由 hjs 于 2008-11-29 15:00 编辑 ]

很抱歉地告诉大家，俺试验失败鸟……

[ 本帖最后由 hjs 于 2008-11-29 19:00 编辑 ]

a2695717

亏你想的出

niels

王朔有句话说得好，无知者无畏

gho

是否可行？

夏日的风

可以吗？你先试试吧。可以来告诉一下。

Magis

拦截器算半个FD，是否可拦截二次生成物还未可知。lz还是先搞懂什么叫RD吧.....

gianfranco

应该没用。。下面引用《小金对hips的分析》的RD部分——http://bbs.kafan.cn/viewthread.php?tid=232570

HIPS里还有个相当重要的功能是注册表防御体系（RD），众所周知，在Windows系统结构中，注册表一直扮演着一个重要角色，许多非法程序和木马也通过修改注册表达到许多黑暗目的，如主页修改劫持等，而木马等程序的自启动也是由注册表的启动项负责的，因此，要进一步确保系统安全的话，对注册表的监视保护是必须的，从很早以前就开始使用电脑的用户应该会记得当初流行的许多注册表监视工具，然而这些工具并不能帮助用户保护注册表，因为它们仅仅是位于用户层的程序而已，其调用的API函数也是经过层层封装返回的，在当前许多进入了核心层的木马面前，这些程序根本就是被耍猴的对象，要正确监视到真正的注册表操作，就必须进入核心层，抢先拦截到系统相关的底层注册表操作函数，这就是注册表防御体系的工作。
系统提供了一系列的注册表读写访问函数来实现用户层的功能，而这些API和之前提到的创建进程函数一样，也是一种对系统内核导出函数的封装传递，如果相关函数被驱动木马拦截，普通的注册表监视程序，包括系统自带的注册表编辑器也无法发现某些项目或执行相关操作，这就是“删不掉的启动项”的来由。
在内核层中，注册表的名称并非为Registry，而是“HIVE”（蜂巢），它的数据结构称为“Cell”（蜂室），这是最底层最不可被欺骗的注册表形态结构，许多高级的Rootkit分析程序都提供分析注册表的功能，实际上就是通过分别读取用户层返回和HIVE数据结构来判断对比系统中是否存在被恶意隐藏的数据项，分析HIVE文件是漫长的过程，这是对付高级隐藏时才不得以而为之的方法，而平时安全工具只需要拦截到内核层导出的操作函数如NtOpenKey、NtCreateKey、NtQueryKey等就可以了，这正是注册表防御体系要做的事情。
RD默认提供了对几个常见的系统敏感注册表项进行监视，如启动项、服务驱动项、系统策略项、浏览器设置项等，所有木马要自启动都必须经过启动项或服务驱动项的添加修改来实现，而要对浏览器进行劫持和主页修改就得通过修改浏览器设置项等，而这些操作默认都被RD视为敏感行为而拦截挂起，并弹出警告框报告用户该次操作的具体内容和发出操作请求的执行体，操作最终能否通过也同样取决于用户本身，由于它拦截了系统核心层导出的API函数，无论是木马还是用户程序的操作都逃不过法眼，从而实现了真正有效的监视和拦截。



———————————————————————————————————————————————————————————————————————
所以。添加REG只能是拦截位于用户层的程序而已。。无效

梦思缘

这个想法有点太那啥了吧

邀请

小a现在不烂注册表修改吗？？？费尔拦，还会修复

hjs

原帖由 邀请 于 2008-11-29 18:49 发表
小a现在不烂注册表修改吗？？？费尔拦，还会修复

费尔墙拦还是费尔托斯特拦？