测试项目
|
动作
|
防御方式以及说明
|
1. RootkitInstallation: MissingDriverLoad |
创建文件 C:\WINDOWS\system32\drivers\ADIHdAud.sys
|
system32创建sys阻止
|
2. RootkitInstallation: LoadAndCallImage | 加载驱动 d:\tool\测试工具\clt\driver.sys |
加载驱动程序阻止
|
3. RootkitInstallation: DriverSupersede | 停止驱动程序或服务 Beep
创建文件 C:\WINDOWS\system32\drivers\beep.sys_old
修改文件 C:\WINDOWS\system32\drivers\beep.sys
启动驱动程序或服务 Beep |
访问服务管理器阻止
修改system32下sys类型文件阻止
|
4. RootkitInstallation: ChangeDrvPath | 修改驱动程序或服务的设置 Beep |
访问服务管理器阻止
|
5. Invasion: Runner | 修改文件 C:\Program Files\Internet Explorer\IEXPLORE.EXE |
……
|
6. Invasion: RawDisk | Vulnerable |
S大已说明此动作无危害 底层磁盘读取,并不会写入。
|
7. Invasion: PhysicalMemory | 修改物理内存 |
修改物理内存阻止
|
8. Invasion: FileDrop | 创建文件 C:\WINDOWS\system32\test.exe
创建文件 C:\WINDOWS\system\test.exe |
WINDOWS下创建exe阻止
|
9. Invasion: DebugControl | Protected |
没有日志,没有询问 访问物理内存
|
10. Injection: SetWinEventHook |
安装全局事件钩子d:\tool\测试工具\clt\plugins\setwineventhook.dll
|
安装全局钩子阻止
|
11. Injection: SetWindowsHookEx | 安装全局消息钩子d:\tool\测试工具\clt\plugins\setwineventhook.dll |
安装全局钩子阻止
|
12. Injection: SetThreadContext | 挂起其他进程的线程 c:\windows\explorer.exe |
操纵其他进程及线程阻止
|
13. Injection: Services |
创建注册表项 HKEY_LOCAL_MACHINE\system\currentcontrolset\ services\new_service
|
……
|
14. Injection: ProcessInject | 修改其他进程的内存 c:\windows\system32\svchost.exe |
访问其它进程内存阻止
|
15. Injection: KnownDlls |
创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp*.tmp 修改内核对象 \KnownDlls\advapi32.dll
|
非可执行临时文件可以放行
修改内核对象阻止
|
16. Injection: DupHandles | Protected |
复制文件句柄 没有日志,没有询问
|
17. Injection: CreateRemoteThread | 创建文件 C:\WINDOWS\system32\dll.dll
修改其他进程的内存 c:\windows\system32\svchost.exe |
system32下创建dll阻止 访问其它进程内存阻止
|
18. Injection: APC dll injection | 创建文件 C:\WINDOWS\system32\dll.dll
修改其他进程的线程 c:\windows\system32\svchost.exe |
system32下创建dll阻止 访问其它进程内存阻止
|
19. Injection: AdvancedProcessTermination | 调试其他进程 c:\windows\explorer.exe |
|
20. InfoSend: ICMP Test
| Vulnerable |
|
21. InfoSend: DNS Test
|
修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
修改文件 \Device\NamedPipe\lsarpc
修改文件 \Device\NamedPipe\ROUTER
修改注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\*
修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
访问网络
|
这个测试只要阻止clt联网,就能成功防御。
|
22. Impersonation: OLE automation |
修改文件 \Device\NamedPipe\wkssvc
修改文件 \Device\NamedPipe\lsarpc
修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Shell Folders\Personal
修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\BaseClass
修改注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
修改注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
访问COM接口
{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} Security Manager
创建新进程 c:\program files\internet explorer\iexplore.exe
|
……
|
23. Impersonation: ExplorerAsParent | 创建新进程 c:\windows\explorer.exe |
阻止非系统程序创建进程
c:\windows\explorer.exe
|
24. Impersonation: DDE | 访问COM接口
{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} Security Manager
创建新进程 c:\program files\internet explorer\iexplore.exe |
|
25. Impersonation: Coat
|
访问网络
修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\*
创建文件
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\*.gif
创建文件 D:\TOOL\测试工具\CLT\logo.gif
| |
26. Impersonation: BITS |
创建文件
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\53L0CQ5Q\logo[1].gif
创、修、删文件
C:\Documents and Settings\Administrator\Local Settings\Temp\*.tmp
修改文件 \Device\NamedPipe\lsarpc
删除文件
C:\Documents and Settings\Administrator\Local Settings\Temp\test.gif
|
• Background Intelligent Transfer Service(BITS):这个系统服务能利用HTTP 1.1
在网路閒置时于背景传送资料,
Windows Update会用到这项系统服务。
不建议设为停用。
|
27. Hijacking: WinlogonNotify |
修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain\DllName
|
……
|
28. Hijacking: Userinit |
修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
|
……
|
29. Hijacking: UIHost |
修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
|
……
|
30. Hijacking: SupersedeServiceDll |
修改注册表值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters\servicedll
|
……
|
31. Hijacking: StartupPrograms |
修改注册表值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
|
……
|
32. Hijacking: ChangeDebuggerPath |
修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger
|
……
|
33. Hijacking: AppinitDlls |
修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows \AppInit_DLLs
|
……
|
34. Hijacking: ActiveDesktop |
创建文件
C:\Documents and Settings\Administrator\Local Settings\Temp\leaktest.html
修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\*
修改注册表值
HKEY_CURRENT_USER\Control Panel\Desktop\TileWallpaper
修改注册表值
HKEY_CURRENT_USER\Control Panel\Desktop\WallpaperStyle
删除注册表项 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components*
修改文件
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Desktop.htt
创建新进程 c:\program files\internet explorer\iexplore.exe
|
……
|
楼主: langsileaa
[复制链接]
发表于 2011-4-8 22:40:49
