不少规则存在的两个漏洞

zxzy

忧郁的迷糊酱 发表于 2011-3-12 13:32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls——病毒自启动方式。各 ...

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls这个注册表键值在我的电脑上没发现有...win7..

忧郁的迷糊酱

回复 21楼 zxzy 的帖子

当时提出的过360的注册表加载DLL途径之一(已修复)，传送门:http://bkhacker.com/read.php?tid=286&page=e (网站的安全性不清楚)
其实现在论坛上的规则，很多在RD方面有漏洞，但是这也很无奈，注册表有点太复杂了，没有海量样本行为分析的积累+注册表结构的熟悉，真的很难保证全面。

骨灰级小白

忧郁的迷糊酱 发表于 2011-3-12 15:42
访问秒杀接口……我汗，所有程序（包括正常程序）都需要访问那个接口的，不能作为运行后的防御手段，换句 ...

这种情况下可以切换默认规则，扔到毛豆的沙盘里结合D+分析一下。

zxzy

回复 22楼 忧郁的迷糊酱 的帖子

主要是注册表太复杂了..有些干脆就来个*然后排出算了..那么多的注册表,短时间内是不可能学完学精通的..com接口也是.

忧郁的迷糊酱

回复 23楼 骨灰级小白 的帖子

完全可以。扔虚拟机里面用MD RD *询问 /AD 只对待侧程序 *询问/FD * 询问/ND *询问，然后全部日志来的效果最好不过了~我这里只是提醒下大众规则的作者们注意一下这个防御点罢了。毕竟不是每个人都愿意这么折腾的。

骨灰级小白

忧郁的迷糊酱 发表于 2011-3-12 23:55
回复 23楼 骨灰级小白 的帖子

完全可以。扔虚拟机里面用MD RD *询问 /AD 只对待侧程序 *询问/FD * 询问/ND ...

其实毛豆搞个ADBLOCK一样的规则，马上占领市场。

忧郁的迷糊酱

回复 24楼 zxzy 的帖子

有这么写的,就在COMODO区有个这样的规则,好处是不容易漏,坏处是把后续的排除工作交给使用者了,需要使用者有较好的注册表信息判断能力。其实有个想法是找那些经常在样本区测毒的人一起收集RD防御点，可惜人懒而且没精力。

zxzy

回复 27楼 忧郁的迷糊酱 的帖子

有人共享的话就好了..只是从理论上来防御的话,往往没用,最好能实测.

忧郁的迷糊酱

回复 28楼 zxzy 的帖子

所以说要有海量的样本积累,当时我写那个资料的时候,老本子没少受折腾.现在没那个时间了.

zxzy

回复 29楼 忧郁的迷糊酱 的帖子

还是有空过去样本区混混实用点.