单奔HIP有可能会悲剧

大猫熊

原因在于，我们单机上运行的HIP是不能改管理密码的，密码永远是abcde12345，这就给了病毒可乘之机。
HIP有一个管理控制程序，叫clientcontrol.exe，HIP8.0自带了程序，而HIP7.0虽然没有自带，但仍可以从官网下载。这个程序本来是用于控制HIP的关闭开启，以及日志记录，用来维护HIP的正常运行，但如果用得不好，也可以让病毒悄悄关闭HIP的所有引擎，而不让用户察觉。

我们来设想一种病毒，它包含了clientcontrol.exe这个程序，因为只有600K左右，所以也不会察觉出来。

1. 病毒将clientcontrol.exe放到任何一个地方
2. 运行，clientcontrol.exe /stop abcde12345，就可以停止HIP保护，用户是很难察觉的。然后病毒就可以该干啥干啥了。不过这个方法有经验的用户可能会发现端倪，所以还有第二种方法。
3. 运行，clientcontrol.exe /engine abcde12345 0 0，就可以禁用HIP的所有引擎，这样基本等同于停用HIP保护，区别在于用户无法发现，只有打开帮助，疑难解答那里，才有可能发现引擎被禁用。

这种情况如果在EPO管理的环境下就不会发生，因为EPO可以改HIP密码，如果没有HIP密码，是不能直接关闭HIP的（强行结束进程的不在讨论范围），其次，EPO可以设置软件完整性验证，如果发现HIP被关闭，会通过agent执行开启的策略，将HIP还原到之前的状态。

所以，如果没有EPO控制，单奔HIP可能会有一定风险，病毒并不需要强行关闭HIP，只需要骗取用户点击，运行clientcontrol.exe，就可以“合法”操纵HIP了。

不过，如果机子上同时装了VSE，就可能避免这种情况，比如禁止所有程序写入HIP文件夹和注册表，理论上能防止修改HIP设置（我没有试过）。

附件里有HIP7.0的clientcontrol.exe程序，HIP8.0的软件目录中就有，另外附上说明，以及我自己做的简单至极的实验样本，无毒。附件有权限，防止过度传播。

busihou

同意楼主观点
但是能找到配置文件有可能得到解决
7.0到是不用ePO就能改密码,前题是要知道密码的32位值,此值不是MD5 和 SHA1值,相同密码产生的值好不一样

ring0biao

只能定制fd于rd，这可是纠结的事情

ying007

楼主比较牛啊，8是不是用clientcontrol.exe可以打开HIPS？

busihou

回复 4楼 ying007 的帖子

不知道楼主打开没
偶是用这个工具没打开

TTTAOa

学习了！帖子我转走了

busihou

回复 1楼 sandyyangjie 的帖子

密码修改已找到,在注册表里
关闭窗口后导入附件,密码为十个零

chengthjw

好久没来了冒个泡，话说我从来没单奔过这玩意儿

ying007

回复 7楼 busihou 的帖子

怎么改为自己的？密码那一串数字看不明啊

ying007

busihou 发表于 2010-12-24 11:15
回复 1楼 sandyyangjie 的帖子

密码修改已找到,在注册表里

好像还是改不了