请教——CLT测试未通过项目

naterrykim

电脑目前处于comodo单奔中，为了检测其安全性，用Comodo LeakTests进行了相关测试。结果如下：



在这些项目中，只有第四项未通过，貌似存在弱点


测试工具clt.exe的规则设置为“Isolated Application”规则，其具体规则为：




参考了http://bbs.kafan.cn/viewthread.php?tid=492110&extra=&page=1   
据其说，第四项RootkitInstallation: ChangeDrvPath 测试的是：修改驱动程序或服务的设置


请问各位若要通过这个项目，我该采取哪些措施？（自我感觉是"我的受保护注册表"中少添加了一些注册表）

ps：文件保护是全局的

测试工具见附件

查看了其英文检测说明

大意貌似是：可以利用服务控制管理器对已存在的驱动路径进行修改。
其风险在于：一个恶意驱动如果被载入是危险的，因为它会表现的如同系统的一部分并获得最大的权限。


请问：该如何设置使其不能利用“服务控制管理器”进行相关修改呢？








已经解决，谢谢各位的提示。问题出在services这个程序，请看图:


可见在进行第四项测试时，ckt貌似访问了scm（服务控制管理器）从而调运了services这个去修改相关注册表。我在保护规则中，我已经对services做了设置，给了他最大权限（包括修改注册表，运行一切程序）。进而使其修改注册表成功，导致测试失败。

%windir%\system32\services.exe  之前对该程序不是很重视，在看了论坛里的相关文章后尤其是hips对scm管理方面的文章后，对其有所了解，不禁为之前的权限设置倒吸一口冷气，好在有惊无险。

题外话：EQ之类的对于程序访问scm都有明确的提示，而comodo却只拦截services的相关操作，对于一些较为生疏的新手貌似带有一定的迷惑性。      

comodo单奔一段时间，好在及时发现



补充：在“com保护接口”中添加\RPC Control\ntsvcs 后，可以弹出程序访问scm的警告窗口，如图：


[ 本帖最后由 naterrykim 于 2009-10-23 02:45 编辑 ]

Beloved

你把测试目录下的 其他  dll 都删了，就保留那一个，单测一个

然后 全 开 询问，你就知道该保护啥了

naterrykim

原帖由 Beloved 于 2009-10-22 22:19 发表
你把测试目录下的 其他  dll 都删了，就保留那一个，单测一个

然后 全 开 询问，你就知道该保护啥了

已经这般测试过了，前面几个都有提示，第四个直接跳过，第五个开始又有提示

lorchid

HKLM\SYSTEM\ControlSet???\Services\Beep

请保护*\SYSTEM\ControlSet???\Services\*

naterrykim

原帖由 lorchid 于 2009-10-22 22:32 发表
HKLM\SYSTEM\ControlSet???\Services\Beep

请保护*\SYSTEM\ControlSet???\Services\*

报告伊修特列：
上述注册表已在我的受保护注册表中，以防万一我重新添加了一遍。

测试clt，，第四项仍然无法通过，

mygames10

原帖由 naterrykim 于 2009-10-22 22:55 发表

报告伊修特列：
上述注册表已在我的受保护注册表中，以防万一我重新添加了一遍。

测试clt，，第四项仍然无法通过，

保护这个注册键是可以防住的。要阻止访问服务器管理器貌似要保护\RPC Control\ntsvcs 这个COM接口。

naterrykim

原帖由 mygames10 于 2009-10-22 23:59 发表

保护这个注册键是可以防住的。要阻止访问服务器管理器貌似要保护\RPC Control\ntsvcs 这个COM接口。

呵呵，这个com接口是的。添加后，弹出了clt访问scm的警告界面。

hekygogo

com里添加 伪com接口--重要端口  注册表里添加 重要键 组  CLT第四项就能通过，两个貌似要同时加才不跳窗口

冰冰

都是高手啊。。。。。。

wevol

多谢楼主分享
正在测试rtd规则
也是这项没通过～～
正好学习学习