楼主: 天月来了
收起左侧

[原创文章] 天琊超级进程监视器防护系统教程(39楼后面有相关内容)6.11日更新程序

  [复制链接]
SONGLEI
发表于 2009-5-5 13:08:08 | 显示全部楼层
LZ说得对极了,支持,决定下载使用

这么长的文字,辛苦了,收藏之
SONGLEI
发表于 2009-5-5 13:10:56 | 显示全部楼层
我想知道它既然有HIPS功能,和其它HIPS有冲突吗?
我还用了DEFENSEWALL
天月来了
 楼主| 发表于 2009-5-5 14:24:57 | 显示全部楼层

回复 52楼 SONGLEI 的帖子

都有其它HIPS了

还要这个干什么

难道其它HIPS的进程监控不如意
SONGLEI
发表于 2009-5-5 17:01:20 | 显示全部楼层
原帖由 天月来了 于 2009-5-5 14:24 发表
都有其它HIPS了

还要这个干什么

难道其它HIPS的进程监控不如意

defensewall不监控信任区,类似黑名单思路,将联网程序全部设为非信任
这个东东用作白名单,一白一黑更加安全啊,不知道有没有冲突啊,以前是杀软综合症,现在似乎得了HIPS综合症了
天月来了
 楼主| 发表于 2009-5-5 18:18:05 | 显示全部楼层

回复 54楼 SONGLEI 的帖子

反正免安装的,也不残留任何文件,运行试试呗

目前没多少安全软件冲突的反映。
SONGLEI
发表于 2009-5-7 09:23:35 | 显示全部楼层
楼主对病毒的研究很透彻啊
防止以下两种病毒楼主有什么看法
http://www.killdu.cn/zhishi/1899.html,这种没有独立进程的DLL木马如何防啊,一开始插入到系统进程时也首先要创建独立进程的吗?
http://tech.ddvip.com/2008-01/120094585540938_2.html这是一个实现了无进程、无DLL、无硬盘文件、无启动项的后门程序......    这又怎么防?具体内容无法看懂?楼主对防止这种诡异木马有何看法?
天月来了
 楼主| 发表于 2009-5-7 10:13:26 | 显示全部楼层

回复 56楼 SONGLEI 的帖子

这两种情况都有个前提条件,就是得一开始有病毒运行做完那些事。

然后系统启动的时候,才可能根据注册表项目来加载那些没法监控到的.dll文件的运行。

而这目前来看,几乎所有非感染型病毒要想在你电脑达到那两种效果的运行。都必须要一开始曾经有病毒主体的*.exe文件或其他方式做完病毒文件以及启动注册表项的创建和注入。

例如那实现了无进程、无DLL、无硬盘文件、无启动项的后门程序的那个提到:“安装后门时只要把Ntboot.exe和Ntboot.dll上传到肉鸡同一目录并且执行“ntboot.exe –install”即可”

这并且执行“ntboot.exe –install”怎么执行呢???这步难道监控不到吗??

监视器的主要目的是监视病毒一开始的第一步运行做恶事,而不是病毒已经将dll等文件创建完成后再去补救监控。

目前依靠移动存储设备的传播是很容易监控到第一次的加载运行的。

而中毒量最大的网页浏览中的情况来看,不论结果怎样,病毒一开始都是必须依赖IE后台下载并执行病毒的运行的,这目前大致就两种情况。

一是IE后台下载并直接启动*.exe文件创建进程

二是IE后台下载并调用系统重要程序执行命令行类型的运行病毒文件。

其他还没接触到,不知道是否还有直接让IE进程向注册表内创建病毒启动项,创建病毒文件,而不依赖除IE以外的任何其他系统程序的情况。

[ 本帖最后由 天月来了 于 2009-5-7 10:16 编辑 ]
天月来了
 楼主| 发表于 2009-5-7 10:28:19 | 显示全部楼层
那贴提到:“下一个问题是启动项和文件。Ntboot.exe是后门的注射器,将自己作为服务启动,我们决不能让管理员发现服务键值。怎么办?这个也是农民前辈提出的思想:先删除所有后门文件和服务,设定一个关机通知和一个一键关机钩子,在即将关机的时候写入文件和服务项。同样的,一开机这个服务只要启动了就会先把自己删除。这样就实现了无文件和无启动项。管理员用注册表对比将不能发现异常,也无处寻找我们的后门文件。”

目前此类方式已经在很多病毒中部分使用了。

它仍然是依赖硬盘文件,仍然依赖注册表启动项,仍然依赖进程创建来做事

只是工作后很快删除文件、删除注册表项、注入假冒进程后,卸载自身进程。

关机时重新写入而已。

对于采取非法关机方式的安全软件来说,定期非法关机即可较好的解决此类病毒。

而这类病毒一开始的第一次创建文件,创建注册表项都能被主流安全软件监控到,而在做所有事之前的第一次运行是很容易被监控到的。

但是这里面有一重要问题,它的那种注入服务器德前提是得远程控制到对方系统。

而一旦系统被远程控制,那么不是任何安全软件后期能为你完美阻止别人恶搞的,系统都被远程控制了,你还能有什么软件为你去保证安全哟。
htmawei 该用户已被删除
发表于 2009-5-7 11:13:31 | 显示全部楼层
Windows98?
dl123100
发表于 2009-5-7 11:57:03 | 显示全部楼层

回复 58楼 天月来了 的帖子

shutdown notify、关机消息钩子还有其它的内核线程、定时器之类的东东都可以用XueTr清除,而且XueTr的强制重启在某种程度上也可以防关机消息钩子。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 14:53 , Processed in 0.088956 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表