CIS无法拦截DLL嵌入和线程插入

显示全部楼层 · 发表于 2009-9-28 11:17:52

　　最近突然发现，CIS的D+好像无法拦截动态DLL嵌入和远程线程插入，如果有木马采用这种方式的话，那不是就防不住了吗？
　　记得CFW 2.4是有DLL嵌入监控的，但是CIS V3没看到么。

显示全部楼层 · 发表于 2009-9-28 11:26:25

你觉得有可能吗？

连插入线程都拦截不了的HIPS，还能算有AD吗？

毛豆的进程间内存访问权限使插入线程这个动作提前N步被拦截~

显示全部楼层 · 发表于 2009-9-28 12:05:34

　　我也觉得纳闷啊，Comodo怎么可能倒退呢，看来果真如版主所说，拦截内存访问就不行了，不过CIS的提示也太怪了，这么笼统可能我在测试的时候被忽略了。它的测试工具倒是比较详细。
　　那再问下版主，也是通过拦截访问内存的方式可以拦截远程线程插入，对吗？

显示全部楼层 · 发表于 2009-9-28 16:33:43

楼主正解，commod3.12确实是功能不如以前了版本了。事物为什么都会倒着走呢？

显示全部楼层 · 发表于 2009-9-28 16:48:39

你认为的正解，是一个误解~

显示全部楼层 · 发表于 2009-9-28 18:07:31

原帖由 穿越星空 于 2009-9-28 12:05 发表
　　我也觉得纳闷啊，Comodo怎么可能倒退呢，看来果真如版主所说，拦截内存访问就不行了，不过CIS的提示也太怪了，这么笼统可能我在测试的时候被忽略了。它的测试工具倒是比较详细。
　　那再问下版主，也是通过拦截 ...

可以在下图中对各程序进行设置保护和排除：

显示全部楼层 · 发表于 2009-9-28 19:20:21

　　公主给出答复，进程内存访问就是，不过我觉得这样太宽泛了，套用一个人的话说，现在哪个程序不访问别人的内存，所以还是细化成对线程、DLL插入的监控感觉更合适。

显示全部楼层 · 发表于 2009-9-28 19:21:25

　　我希望是能够对每个进程进行插入进行监控并提示，因为一般病毒或木马要插入的话，绝对不会是一个，也不知是哪些，所以特别设置适应性不好。

显示全部楼层 · 发表于 2009-9-28 19:22:25

COMODO走得就是这个宽泛的路线，太过详细专业也许就不好上手了，各有利弊，人家也不想专门靠HIPS吃饭

显示全部楼层 · 发表于 2009-9-28 20:09:20

　　那有没有什么可以显示得更具体的HIPS呢？
　　PS：Comodo难道只靠FW吃饭？不太现实吧？

[讨论] CIS无法拦截DLL嵌入和线程插入