简单分析了一下COMODO IS的HIPS部分

haoge868

转自：MJ0011的内核驱动研究所  http://hi.baidu.com/mj0011/blog/ ... 24a5d5d10060f6.html
              
          简单分析了一下COMODO IS的HIPS部分2009-07-16 22:39大部分函数判断都是直接丢进程（或目标进程）到RING3去走黑白名单或规则，这种做法有好处就是比较可靠，反正参数也不判断，直接告诉用户谁谁谁在XXX谁谁谁。

但都丢给用户了，没什么意思。用户全选拒绝，于是很安全，但是大部分程序都挂了，用户全允许，就没安全了，而且貌似默认模式下很多钩子都没效果了~

剩下那些做了一些判断处理的函数里（因为要是这些不处理，弹框就弹死人了）也有一些问题：

驱动拦截时路径名分析有一些问题，可以绕过

消息拦截时对其他进程采用部分拦截，不是很全面，但是对自己进程的拦截采用部分放行，比较可靠。

但是窗口的保护拦截不是很全面。虽然对进程本身没有影响。

SetHook中有我之前说的那个漏洞的问题

LPC拦截很遗憾地没有做svc的

绕过的漏洞应该不少，从功能上说，比较丰富，但是从防护强度上说，可能尚不如瑞星或微点。

由于过分依赖XXXX，所以面对MAX法很脆弱，这方面的攻击方法绕过COMODO的很多

自我保护不够完善，例如RING3下用MAX法绕过拦截，再用TerminateJob即可结束。

其中也有一些有意思的小技巧，例如hdc to hwnd，IoSetTopLevelIrp , CallHwndParamLock拦EnableWindow等。

zjf954

不过MJ的东西卡饭也不会有人说那么多了吧

[ 本帖最后由 zjf954 于 2009-7-17 16:51 编辑 ]

Magis

膜拜+等样本。 这些漏洞应该也有平台限制吧？比如说NT6.0以下，64位以下等等？
一直不明白MJ大婶为什么不来Kafan，而且曾注明勿转Kafan。

guohouzuo

不太清楚他说了些什么，不过也说得太简洁了吧

Magis

第八个男人论坛上的很多大牛对Windows Internal都研究颇深，希望少谈兵多付诸实际，让HIPS在针锋相对中成长进步。

hptutu

关注中

guohouzuo

应该是研究系统研究的特别深入的一个人～

“
绕过的漏洞应该不少，从功能上说，比较丰富，但是从防护强度上说，可能尚不如瑞星或微点。”
不太清楚他说的防护强度是什么意思，不过瑞星的主动防御可是远远比不上comdo的，我感觉是这样。

sun2009

原帖由 haoge868 于 2009-7-17 16:19 发表
绕过的漏洞应该不少，从功能上说，比较丰富，但是从防护强度上说，可能尚不如瑞星或微点。

希望能给出一个详细的对比分析数据。

dongyuanxun

MJ也是神人啊，360的hips模块是他做的么？

vebee

360  有 HIPS  模快 ？