问个毛豆的事

天月来了

在MD区我已经问过的：
http://bbs.kafan.cn/thread-448131-1-1.html

就是关于监控rundll32.exe

我们知道一般病毒运行，要么自己能单独运行。要么依赖系统内的一些程序运行

例如%SystemRoot%\system32\rundll32.exe文件。

这个病毒常要用它来加载*.dll文件运行什么的。

现在我知道毛豆可以轻松阻止IE浏览器进程调用rundll32.exe，并且还不影响系统正常使用。

而我们知道为了不妨碍Windows系统的自身一些设置，例如桌面属性，时间调整，还有控制面板里一些操作。

这些都必须同意桌面进程调用rundll32.exe程序做事。

那么在毛豆中怎么去监控病毒利用桌面进程去调用rundll32.exe执行非Windows自身的命令行呢？？

例如我们知道去年的木马群病毒，利用autorun.inf文件，让桌面进程调用rundll32.exe加载system.dll文件运行。

我这只是举一个例子而已。

我们的毛豆可以轻松阻止病毒进程的创建，但是怎么做到病毒难以利用我们不能阻止的Windows自身的程序做事呢？？

SSM有易用的“命令行检测”，EQ也有个简单的“命令行检测”，RTD也有个“新命令行检测”。

那毛豆如何做到既让桌面进程可以启动rundll32.exe执行系统的一些设置，又能阻止被病毒利用呢？？

是我没摸索到吗？？还是..........

Magis

程序调用rundll32.exe应该都有提示，rundll32.exe的正常行为如修改系统时间，应该想到，这个程序是否需要修改时间～（前提rundll32的规则是custom)，其他非正常行为会警觉。
当然完全禁用rundll32也有这种做法。

[ 本帖最后由 magiscoldeye 于 2009-3-25 16:45 编辑 ]

月光下的忍者

呵呵~

FD不发威，你当我是SSM？

请上传样本，我放它进来，让它加载……

若能盗走我的密码，我从此不再碰HIPS~

Magis

小白试下这个。

月光下的忍者

早看过了，用到的是RD

其实不是口气大，而是有很多人爱钻牛角尖~

明明是3D立体式防御，去只看到了其中1D

习惯用咖啡的人，就只看到了FD，习惯用SSM的人，就只看到了AD

其实FD和AD完全可以互补，一松一紧，非常灵活~

当然RD也是举足轻重的地位.........

再加上ND，可以说是层层保护，很难中招~

就如楼主提的木马来说，利用autorun.inf文件……等等

它上哪去找autorun.inf文件？加载dll？我允许它释放dll到危险目录了？

连创建文件的权利都没有，FD首当其冲~

至于AD，你让rundll32.exe去加载空气？

Magis

提问回答就好～激动啥，对皮肤不好～
Comodo默认的RD防不住那个。

月光下的忍者

我知道，COMODO默认的RD不行~

改兼容性很有可能被黑客利用来对付安软~

所以RD是绝对不可以藐视的~

Magis

U版的RD规则也防不住。不过大小姐说了，这个键值很少有HIPS添加。
我用GW防住了，试毒的话可以全盘监控RD，不过白名单整理麻烦。

smallyou93

原帖由 月光下的忍者 于 2009-3-25 17:41 发表
早看过了，用到的是RD

其实不是口气大，而是有很多人爱钻牛角尖~

明明是3D立体式防御，去只看到了其中1D

习惯用咖啡的人，就只看到了FD，习惯用SSM的人，就只看到了AD

其实FD和AD完全可以互补，一松一紧 ...

ADFDRDND是一环接一环的，各有轻重。

如果利用taskkill的方式结束没有AD的HIPS

结果是会怎么样呢？呵呵

”FD首当其冲“

都把HIPS的进程结束了，FD还可以“冲”？

Magis

LS误解了，MM并没有对4D 分出个轻重缓急来。4D哪个更重要谁在乎？能防住就好。
她指的用正常程序调用生成的恶意文件这个特例里，FD的作用可以视为"把关者"。

[ 本帖最后由 magiscoldeye 于 2009-3-25 18:15 编辑 ]