楼主: 天月来了
收起左侧

[原创文章] 天琊超级进程监视器防护系统教程(39楼后面有相关内容)6.11日更新程序

  [复制链接]
chenzone
发表于 2009-3-19 23:47:07 | 显示全部楼层
我知道可以添加 只是不知道整个目录添加 不知道对防毒有没有影响
天月来了
 楼主| 发表于 2009-3-20 08:31:51 | 显示全部楼层

回复 31楼 chenzone 的帖子

如果那目录不是象QQ或迅雷之类软件的目录普及性的。就没事,也不需要担心

只管加进去。

但是你那如果是象QQ或迅雷之类普及性软件的目录,那还是少加点为好。

不过目前病毒发展来看,你还是可以放心加的。没关系。

只管玩这工具吧,它没任何危害的。
xinhaozs
发表于 2009-3-20 10:47:45 | 显示全部楼层
好厉害的工具啊我下个保护自己了
elst5523183
发表于 2009-3-21 13:19:50 | 显示全部楼层
很像HIPS!!..建议可以加个对注册表的监控
天月来了
 楼主| 发表于 2009-3-21 14:01:43 | 显示全部楼层

回复 34楼 elst5523183 的帖子

所以说你还是没注意这工具的使用

注册表监控或文件方面的FD监控在几乎绝大多数的安全软件中已经有了

但是类似的进程监控,还没有这样做的。

而一般使用电脑的人都有安全软件存在的。

所以本程序就只监控进程了。

况且原本只是天琊的插件而已,能做到今天这样,足够了

我们一起期待天琊的其他东西吧
瓦斯曲
头像被屏蔽
发表于 2009-4-7 10:16:32 | 显示全部楼层
好好学习了。

确实不错的东西。我用这和无忧wang的安全盾,一起用的下效果不错,
156200
发表于 2009-4-8 16:26:43 | 显示全部楼层
支持教程来喽
天月来了
 楼主| 发表于 2009-4-27 11:24:51 | 显示全部楼层
本工具配合沙盘类软件使用还是很不错的选择的。

请使用者不要企图单独用这工具达到你想要的完美化防护系统,那不现实的。

我们知道瑞星杀毒软件以及其他杀毒软件,其主动防御的监控部分是不能在进程监控上做到这样的频繁提示的,因为这样的提示会导致无数使用者厌烦,甚至抗议的,尤其是付费用户方面的使用观感,一直是各家杀毒软件厂家必须要考虑的。

而这个进程监视器可以弥补杀毒软件的进程监控的缺陷,愿意的话,可以自己尝试和自己选择的那个杀毒软件配合使用。

不管怎样,需要你一开始有点耐心了,不去耐心的将自己的正常软件加入白名单,那还是不要玩这进程监视器了。
天月来了
 楼主| 发表于 2009-4-27 11:33:23 | 显示全部楼层
例如我们在这贴里得到的这个很早期版本的sola病毒,用监视器监视程序运行,测试此病毒的运行:

http://bbs.ikaka.com/showtopic-8611693.aspx

         拿这个病毒测试的原因,是因为此病毒早期版本在感染U盘后,在U盘内存在autorun.inf文件和一个sola文件夹。并且此病毒运行依赖的是系统正常程序加载运行,而目前绝大多数杀毒软件都默认放行系统正常程序的。所以我们就拿它来说明一下监控系统正常程序的不正常程序行为的重要性:

         其中autorun.inf文件内容如下:

SOLA_1.0
[autorun]
shell\打开(&O)\command=mshta "javascript:new ActiveXObject('WScript.Shell').Run('SOLA\\SOLA.BAT -USB',0);window.close()"
shell=打开(&O)
shell\open=复制磁盘(&C)
shell\open\Command=mshta "javascript:new ActiveXObject('WScript.Shell').Run('SOLA\\SOLA.BAT -USB',0);window.close()"
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=mshta "javascript:new ActiveXObject('WScript.Shell').Run('SOLA\\SOLA.BAT -USB',0);window.close()"


         那么在后来使用U盘的过程中,双击U盘打开的时候,可以看到如下面的监视器监控到的程序行为提示(测试中的规则就是我的那规则而已):

         刚双击U盘后跳出的第一个提示(此提示中可看到父进程就是你的桌面程序EXPLORER.EXE,它执行的就是你双击U盘后读取U盘内的autorun.inf文件内容执行的程序调用行为):
1.jpg

          允许后跳出的第二个提示(此提示可以看到父子进程调用的情况,以及子进程执行的命令行指向的文件是U盘内的病毒文件):
2.JPG

        全部允许后陆续跳出其他的提示我就不发了,也不需要发了,因为从防毒的角度来说,我们只需要开始的第一步即可,从第一个提示来看,桌面进程突然调用平时几乎没见过的mshta.exe程序运行,并且执行的命令行内有特殊的不认识的文件名存在,就是那个“SOLA\\SOLA.BAT -USB”,这时候就算你误操作允许运行了,那么第二次跳出的提示已经命令行那明显提示出不正常的文件路径和文件名了,这一个过程,如果你本人没本事判断,那么也就不适合用这监视器了。但是如果你耐心的长期使用以后,你就会慢慢熟悉你的系统了。

        关于上面的提示,我们只要选择“退出”即可禁止病毒运行了。

另外我们从这贴描述的去年的木马群病毒来看:
http://bbs.ikaka.com/showtopic-8570012.aspx

        其中病毒在所有磁盘内创建的autorun.inf内容如下:

[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore


        可以看到其利用系统的自动播放功能,利用系统重要程序rundll32.exe加载system.dll病毒文件运行。

        再有今年2009年最热闹的那个conficker病毒,它在利用U盘传播的过程中,也是依赖rundll32.exe加载jwgkvsq.vmx文件运行的。

它的那个乱码加密的autorun.inf文件内可见这样的内容:

shelLExECUte=RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

        这样的一些典型利用U盘传播的病毒文件,都是利用系统自身的重要程序文件去加载病毒文件。而目前我们已知的绝大多数杀毒软件在程序行为的监控上都是默认验证程序签名的,尤其是微软签名的程序行为都是放行的。那桌面程序EXPLORER.EXE、mshta.exe程序、rundll32.exe等程序都是微软自身的程序,几乎所有杀毒软件的监控都是默认允许它们运行的,不会去阻止它们的任何非正常加载病毒的行为。除非加载的病毒文件是杀毒软件能检测的,否则的话,任何一个做了免杀处理的病毒文件,都会被加载运行起来。

        至于其他的不依赖系统自身程序,就能独立运行的病毒,是很容易就能被各种安全软件监控到的。

        例如5月1日的到处有求助的新木马群病毒,其主体病毒运行后会在每个磁盘根目录下创建autorun.inf文件,内容如下:

[autorun]
Open=1.exe


        在双击磁盘后,桌面程序启动那1.exe立即就能被本监视器监控到它的运行,并且这1.exe后期调用系统重要程序rundll32.exe工作也很容易就被监视器监控到,阻止运行后都可以很轻松的解决后期病毒恶搞的问题,可惜没多少人愿意试试学点简单的防护手段。

        当我们用IE浏览器去浏览某个挂马挂病毒的网页后,IE浏览器后台执行网页中的恶意代码下载病毒文件并运行,此时监视器会跳出如下图的提示:

1.jpg

        我们选择“禁止并删除”或者选择“退出”后,病毒就不能运行了,这一步是阻止网页病毒的第一次运行,这个一般阻止后,就没有其他病毒行为了,因为已经阻止了病毒运行,所以也不会再有其他的异常影响。

        而一般利用任何程序漏洞来下载并运行病毒文件的行为,基本上都是这样的过程,都能被监视器监控到,可以由你自己自由的选择是否禁止运行。

       因此本程序配合杀毒软件监控自己的系统进程行为还是很不错的。同时再说一遍,杀毒软件在进程行为的监控上是不可能提高到哪怕象这个简易进程监视器那样监视的,因为跳出的提示普通用户都会抗议并嫌烦的。这个可以在杀毒软件区看到一堆一堆质问的求助贴。

        所以有兴趣的用户,能会玩QQ聊天或QQ游戏的用户都可以来学一学,它绝对不会比玩QQ游戏复杂,这程序随便你怎么折腾都无所谓的,它不会导致你系统出现问题,不需要担心它会给你带来负作用的。放心一起来体验HIPS软件的初级进程监控吧。

        当你去体验完这样的监控并熟练了规则添加后,你就可以去体验其他的正宗HIPS软件的监控了,那时候你会发现,原来HIPS软件的规则和监控并不难折腾。呵呵!你会发现,你的系统的安全性比以前要高得多了,你的系统一年内也不会再频繁的重装系统了。

[ 本帖最后由 天月来了 于 2009-5-28 11:44 编辑 ]
天月来了
 楼主| 发表于 2009-4-27 11:33:43 | 显示全部楼层
还是那句话啦。系统的安全主要是防噢,别指望病毒都已经运行了,还去折腾,那也是一样不现实的。绝对是错误的想法。

        曾经很多人和我讲过,HIPS软件哪怕在进程监控上没能阻止病毒运行,只要FD和RD部分的监控能阻止即可,也就是所谓的FD和RD强大的HIPS软件还是不怕的。这也是错误的想法而已,一旦病毒能够运行起来,那么除非你的HIPS软件不在病毒针对性的对付范围之内,否则一旦病毒本身针对你的HIPS软件恶搞,再强都是没用的。

        一开始能阻止病毒运行,才是最最主要的。病毒一开始的第一步的运行能阻止,其他的你还怕什么呢???
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 14:58 , Processed in 0.108653 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表