图——D+的哈希校验到底在哪里？

30794

HIPS哈希校验做得较好的是Tiny，用Tiny两年多，对其哈希校验有认识
据说D+也有哈希校验，但好像不直观，作用点与Tiny不一样
D+的哈希校验到底在哪？看图


一、D+设置

偏执狂模式


镜像执行控制设置

二、e:\test\目录下有文件test.exe，其实是cpu-z


三、用任务管理器运行test.exe(cpu-z)




四、D+开工了
注意此时的test.exe是cpu-z


询问是否允许任务管理器运行test.exe(cpu-z)


询问是否允许test.exe(cpu-z)修改与cpu-z有关的注册表项


询问是否允许test.exe(cpu-z)进入与cpu-z有关的被保护COM接口


询问是否允许test.exe(cpu-z)进入系统进程内存

上述询问都点允许并记忆规则

五、cpu-z运行了


六、D+已建立规则，允许任务管理器taskmgr.exe运行实为cpu-z的e:\test\test.exe


七、e:\test\目录下的test.exe换成了gpu-z


八、用任务管理器运行test.exe，其实是gpu-z




九、D+又开工了
此时的test.exe已改为gpu-z
注意：没有弹出窗口询问是否允许任务管理器运行哈希校验值肯定改变的e:\test\test.exe


询问是否允许test.exe(gpu-z)修改与gpuz有关的注册表项
注意：与第四部分中的与cpuz有关的注册表项不一样


询问是否允许test.exe(gpu-z)访问DNS
gpu-z可以在线更新


询问是否允许test.exe(gpu-z)进入被保护接口
注意：与第四部分中的被保护COM接口不一样


询问是否允许test.exe(gpu-z)进入被保护pseudo-COM接口
注意：与第四部分中的被保护COM接口不一样

十、gpu-z运行了



总之，D+的哈希校验，作用点不在AD，在哪呢？

ccyijane

与lz有相同的疑问，另一篇帖子里的验证与我的理解并不一致

下图截自“伯夷叔齐”的帖子


原帖地址  http://bbs.kafan.cn/viewthread.php?tid=252018&page=1#pid3510938

choso

我是这样理解的，对于有数字签名的程序，毛豆对它放宽了策略，只要不访问受保护的资源，就不会有提示。
你的cpu-z是汉化的，因此没有，而gpuz可能是原版的。你把顺序交换一下再试试。

ImageExcute打开，在说明中写的是"Intercept before being loaded into memory" - 在读入内存前拦截。
在Windows中，必须先LoadImage，即将程序读入内存，映射到内存空间之后才能执行。
因此显示的“A程序运行A程序”，实际是“A程序想要加载并运行A程序”，前面的是磁盘上的文件，后面的是内存中的镜像。
就是说，A程序想把自己加载到内存时，毛豆报警：A程序和以前不一样了！

对于Windows的核心机制，我也了解不多，大概就是这样吧。
如果对内核比较熟悉的，肯定能更好的解答这个问题。

深度扫描

楼上比较专业啊。。。。。

30794

我是这样理解的，对于有数字签名的程序，毛豆对它放宽了策略，只要不访问受保护的资源，就不会有提示。
你 ...
choso 发表于 2010-1-7 08:46

cpu-z和gpu-z的数字签名

30794

我信任的软件商
大部分都被我删除了，只有有限的几个，不包括cpuz和gpuz

另外请注意顶楼第一张图：
Trust the applicayions digitally signed by Trusted Software Vendors
没打勾

lorchid

疯狂模式下是肯定会出现Image Execution提示的，楼主把相关规则删除后再重测试下；
要证实D+的哈希校验其实不用那么麻烦，把D+设置成干净PC模式，比较待处理文件中的变化就能看到~

很多东西，自带的帮助文档里都已经说明了，建议有时间看看。

choso

哈，还是用的不够多，原来这样也行。
几乎没用过干净模式……

我理解的就是上面那些，毕竟研究它的时间不多，只是对计算机熟悉一些罢了。
你要是继续问我为什么，我也答不上，只有等更猛的来答啦。

chicken

回复 7# lorchid


    这么说楼主一楼的试验  没有那个相关的文件变化提示 是因为楼主的规则问题了？   

   如是   能说说他的规则可能存在的问题吗？

lorchid

回复 9# chicken


    楼主是在疯狂模式下测试的，在疯狂模式下所有在D+监控范围内的动作都会有相应的提示，并严格按照已制定的规则执行，包括上面说的Image Execution。即使是第一次调用记事本、任务管理器之类的程序也会有Image Execution提示，可以这么说，无论原有的程序是否改变，都将给予提示。
    规则最有可能的问题是在test程序规则的运行执行文件中已允许自身。试试D+的各种安全等级，相信会有更深刻的认识。