关于毛豆对银砾石的命名管道样本防御

显示全部楼层 · 发表于 2009-12-5 22:09:05

本帖最后由穿越星空于 2009-12-6 21:56 编辑

银砾石在http://bbs.kafan.cn/viewthread.php?tid=144527提供了命名管道的测试样本，今日用毛豆测试了下，并用PipeList跟踪了下，发现好像毛豆能够防御，请问下大家，是不是和我有同样的结果呢？就是开了毛豆运行该测试样本后，重启电脑没有任何变化。
　　又有测试了一下，在毛豆的默认保护下，虽然PipeList列表中没有变化，但是“本地安全策略”的“用户权利指派”中，已经去掉了Administrators组的所有权限，因此毛豆防御不完全，这可能也就是10楼dl123100所说的“那个样本不只是设置了lsass管道”吧。

显示全部楼层 · 发表于 2009-12-5 22:57:59

你完蛋了，毛豆应该是不能防命名管道的，你有冰刃的话开下试试？还有关机按钮还在不？

显示全部楼层 · 发表于 2009-12-5 23:04:21

回复 2# bluelaser
　　我一般都是工作在影子模式下，所以无法看重启效果，但是就从我的跟踪来看毛豆应该是可以防御的，我用的是毛豆最新版。

显示全部楼层 · 发表于 2009-12-5 23:14:03

回复 2# bluelaser

谁说不能防

显示全部楼层 · 发表于 2009-12-5 23:19:13

Named Pipe不就是命名管道吗?
http://bbs.kafan.cn/thread-276695-1-1.html
局长的帖子从来不看?

显示全部楼层 · 发表于 2009-12-6 02:20:22

局长规则里的命名管道保护名单不能防御？好像规则里已明确标示为病毒测试使用.........

显示全部楼层 · 发表于 2009-12-6 10:29:20

研究下，看看

显示全部楼层 · 发表于 2009-12-6 10:40:23

我在WIN7下试了，运行点击按钮后，日志没有东西，重启后也无变化。

显示全部楼层 · 发表于 2009-12-6 15:07:34

应该能防啊

显示全部楼层 · 发表于 2009-12-6 15:14:37

那个样本不只是设置了lsass管道，另外不知道PipeList能跟踪到什么。

[讨论] 关于毛豆对银砾石的命名管道样本防御