毛豆中services应处的位置！

小静电

本人水平一般，理解有限，测试难免会出现差错，在此深表歉意，也希望大家对我的错误不惜赐教，在下感激不尽，此贴的目的只是希望通过大家的努力来用好毛豆。

最近有时间翻看了以前的老贴子，看到佛祖发的一个帖子：浅析部分常用HIPS对SCM的行为控制
结论是：对于CFP来说，其拦截“访问SCM”是阻止病毒利用SCM加载驱动的唯一路障，而EQ对“访问SCM”的拦截仅当程序要创建、修改、删除以及利用SCM加载驱动时才会提示，而对于常规的利用mmc.exe访问服务管理器时是不会有任何提示的，但CFP却对任何访问服务管理器的行为都会提示，因此EQ的“访问SCM”的拦截范围比CFP的“访问SCM”的拦截范围要小很多，也就是说EQ的这一项拦截虽然名为“访问SCM”，但只拦截对服务操作的关键行为，而不是真正的仅对访问服务管理器进行拦截。所以说，EQ与CFP的“访问SCM”是两个不同的概念。
如果HIPS软件能够拦截到services.exe加载驱动，当这一关键的行为被拦截了，对SCM的行为控制基本上已经达到了预期的目的，而像访问SCM这种常规行为完全没必要加入AD中，除了CFP外的传统HIPS基本上都不会对此进行拦截的，并且CFP对SCM的行为控制也是目前所有HIPS中最不完美的一个。其实如果用户确实需要对访问SCM进行控制，那么只要编制关于服务管理器的相关规则就可以了，具体的规则我这里就不赘述了（因为太简单了）。也许是因为佛祖用的是默认规则的原因，没能拦截到那个驱动，也许是我的测试的方法不对，不说废话了，大家看图吧。

这里做了个小测试，具体的图就不截取了，只把关键的图截取出来。





[ 本帖最后由 小静电 于 2009-2-11 14:32 编辑 ]

chenwei54

又学到新东西了~

一下子丫

学习

pastport

新的BETA
SERVICE 进程已经独立出来了
不在是SYSTEM APPLICATION 分组
此外SCM 控制
在COM 中没有了
大概就是要自己写了吧

月光下的忍者

哎……

不行咱就把微软的这些破进程单独拿出来，一个个的批斗~·

等批斗完了，进程没毛病了，HIPS也弹累了，咱就安全了~

小静电

原帖由 月光下的忍者 于 2009-2-11 15:14 发表
哎……

不行咱就把微软的这些破进程单独拿出来，一个个的批斗~·

等批斗完了，进程没毛病了，HIPS也弹累了，咱就安全了~

昨天那个测试的程序玩了没有?有没有被过？

V!RTUAL

学习一下

月光下的忍者

没有~

一年被蛇咬，十年怕井绳，如今我的FD里面基本上是 *\* Block~

只不过是对信任程序大量的排除工作罢了~

solstice1988

楼主好能找

小静电

原帖由 月光下的忍者 于 2009-2-11 15:20 发表
没有~

一年被蛇咬，十年怕井绳，如今我的FD里面基本上是 *\* Block~

只不过是对信任程序大量的排除工作罢了~

O(∩_∩)O哈哈~。没有试一试，其实没什么危害的。那个不是病毒，只是一个test。