毛豆的拦截项怎么这么少？

显示全部楼层 · 发表于 2009-9-3 19:27:07

和EQ比起来，没有创建远程线程、关闭重启系统、修改系统时间、操作系统内核、注册表转储、访问服务管理器……
这些在病毒分析是都出现过的动作都不拦截……大家用得安心吗？还是他有什么优势在里面？现在不想做禁运党了。

PS：EQ蓝屏了一次，现在在投入毛豆当中，以免有同志认为我是来砸场子或者是下擂台的……

显示全部楼层 · 发表于 2009-9-3 19:32:15

毛豆的AD是长项，是你没有发现，如果连你说的这些都没有，那还算AD吗？

常混HIPS区的都知道，论AD，毛豆是最拿手的，不会输于任何分区的HIPS~

呵呵，好好发现吧，有些是在COM保护里面的~

显示全部楼层 · 发表于 2009-9-3 19:35:02

是不是其他HIPS分开做几个拦截项的毛豆都在一个项里拦截了？com保护和创建远程线程、关闭重启系统、修改系统时间、操作系统内核、注册表转储、访问服务管理器有什么关系？

显示全部楼层 · 发表于 2009-9-3 19:49:26

创建远程线程要先进入进程内存空间，所以第二项权限修改进程内存包含了此项~

COM接口
Pseudo COM Interfaces - Privileges 提升权限，一般程序很少用到，最好阻止。
尤其是：
LocalSecurityAuthority.Debug 提升权限到Debug直接阻止，非常重要，除非是完全信任的程序。
LocalSecurityAuthority.SystemTime 修改系统时间直接阻止。通常只允许rundll32 修改系统时间。
LocalSecurityAuthority.Restore 系统还原，可以绕过已设置的文件、注册表权限，非系统程序直接阻止。
Service Control Manager (\RPC Control\ntsvcs) 涉及到对服务的管理，不认识的程序直接阻止。

另外关机和重启也在COM的保护里。但默认规则里没有，需要自己添加。

你运用好了com保护，不用禁运也能达到禁运一样的效果！非常强大~

显示全部楼层 · 发表于 2009-9-3 19:51:07

关机重启用COM规则怎么保护？谢谢你的回答。

显示全部楼层 · 发表于 2009-9-3 19:55:45

LocalSecurityAuthority.Shutdown （关机）

LocalSecurityAuthority.Restart （重启）

将上面的英文部分添加到COM接口保护里即可~

显示全部楼层 · 发表于 2009-9-3 20:26:01

学习了，谢谢各位了。

显示全部楼层 · 发表于 2009-9-3 20:26:18

创建远程线程其实就包含在毛豆的进程间内存访问里面了、操作系统内核访问差不多就是操作内存行为，访问服务管理器其实拦不拦都无所谓把后续的注册表操作管好就行了，至于最后的关机重启修改时间等等就像上面说的那样可以在com防护里设置。

显示全部楼层 · 发表于 2009-9-3 23:29:31

那其他HIPS的很多保护不是都是多余的，好多可以通过COM实现

显示全部楼层 · 发表于 2009-9-3 23:35:36

还是感谢忍者同学和tanlimo同学的回答

[求助] 毛豆的拦截项怎么这么少？

回复 3楼 lujunji1987 的帖子

回复 5楼 lujunji1987 的帖子