瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 再谈安全软件程序分组功能的意义

1   1  /  1  页   跳转

再谈安全软件程序分组功能的意义

收藏
本主题由 大版主 baohe 于 2008-9-11 20:59:31 执行 主题置顶/取消 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-09-08 15:50 | 只看楼主 短消息 资料
字号: 1楼

再谈安全软件程序分组功能的意义

瑞星主防没有程序分组功能,以前已经提过,并希望瑞星2009能加入此功能。
安全软件的程序分组管理并非可有可无的“花瓶”,而确实有实用价值。

现以流行的一个木马为例,以Tiny的程序分组+基于程序分组的防护规则为例说明“程序分组管理确实可便于用户设置相应的防护规则”。

此木马的详细分析见:http://bbs.ikaka.com/showtopic-8545588.aspx

下面是Tiny的程序分组+基于程序分组的防护规则的实际防护效果(图1)




此马有恢复SSDT的功能。但是,有了TinyTiny的程序分组+基于程序分组的防护规则,此马未能恢复SSDT(图2)


与此防护规则相关的程序组有:(1)My-Apps:包含我本本中的所有应用程序及系统程序(.exe);(2)Key_Dlls:包括comctl32.dll、user32.dll和ntdll.dll。

防护规则之一:允许My-Apps组加载Key_Dlls组中的dll(图3)




防护规则之二:禁止其它任何程序My-Apps组加载Key_Dlls组中的dll(图4)




就这样,在Tiny程序分组的基础上,凭借两条简单的防护规则,就将这个绕过windows文件保护替换系统程序wuauclt.exe、beep.sys且穿还原软件的木马搞死了。

用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
分享到:
gototop
 
zg1_2004
头像
禁止访问
  • 帖子:6782
  • 注册: 2004-01-22
  • 来自:
发表于: 2008-09-08 16:01 | 短消息 资料
字号: 2楼

回复:再谈安全软件程序分组功能的意义

该用户帖子内容已被屏蔽
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-09-08 16:10 | 只看楼主 短消息 资料
字号: 3楼

回复: 再谈安全软件程序分组功能的意义



引用:
原帖由 zg1_2004 于 2008-9-8 16:01:00 发表
关键是你得知道那就是木马,但新木马是不会在脸上贴字:我是木马!请枪毙我! 不知道就束手无策 最后一样中招。  


你没看懂这个帖子的内容
gototop
 
hotboy
头像
社区嘉宾
  • 帖子:27670
  • 注册: 2002-02-01
  • 来自:东厂
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念冰激凌十周年
发表于: 2008-09-08 22:29 | 短消息 资料
字号: 4楼

回复:再谈安全软件程序分组功能的意义

明媚那个新版的用过了没,用了2009引擎
gototop
 
天下奇才
头像
卡卡巡查
  • 帖子:28107
  • 注册: 2001-11-04
  • 来自:卡卡女性协会
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念10温馨圣诞
发表于: 2008-09-08 22:51 | 短消息 资料
字号: 5楼

回复:再谈安全软件程序分组功能的意义

09看到了模板的概念,类似于这种分组,我猜测

一点点的激情,一点点的执着,让我一步一步的走入了自己梦寐以求的行业。从一个学校里年少轻狂的孩子,成为了一名信息安全的研发工程师。从只知道写代码,真正开始慢慢的去思考、设计和实现一种技术、一种算法、一个模块、一个软件乃至一个系统。
人生本来就该不断的追求梦想,不断的跨过一个又一个不可能穿越的鸿沟。别人看来,我很疯狂,但我笑了,人生能有几回疯?真正疯狂的人是不计后果的向前冲的,至少我还不是。我所想的,只是别人不敢想的。我所做的,只是别人不敢做的。一个一个虚无缥缈的事物,都必须是有一个一个疯狂的人逐渐的具体和完善。但愿我是这样的人,我只愿做这样的人。
gototop
 
奇缘の随风
头像
拙长孩提狮
  • 帖子:132
  • 注册: 2006-11-07
  • 来自:
发表于: 2008-09-10 22:58 | 短消息 资料
字号: 6楼

回复:再谈安全软件程序分组功能的意义

猫叔 有个问题。
你的规则明显禁止 陌生程序的危险操作 和 取得权限 很有效果。
很多程序都需要DLL 才能运行起来。
阻止加载DLL 跟 阻止运行 都是运行不起来
何不直接阻止陌生程序运行来的快呢?
讨论一下 希望解疑
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-09-11 08:11 | 只看楼主 短消息 资料
字号: 7楼

回复 6F 奇缘の随风 的帖子

(1)My-Apps:包含我本本中的所有应用程序及系统程序(.exe);
(2)Key_Dlls:包括comctl32.dll、user32.dll和ntdll.dll。

防护规则之一:允许My-Apps组加载Key_Dlls组中的dll(图3)
防护规则之二:禁止其它任何程序加载Key_Dlls组中的dll(图4)
————————

阻止陌生程序运行问题:根本不需要定义规则。不在Tiny程序列表中的程序启动时,Tiny均会提示用户选择运行方式(包括禁止运行)。

一般用户的问题是:陌生程序到底该不该放行。
最后编辑baohe 最后编辑于 2008-09-11 08:54:43
gototop
 
CAPTjoe
头像
强壮不惑狮
  • 帖子:1045
  • 注册: 2006-09-29
  • 来自:
发表于: 2008-09-11 08:38 | 短消息 资料
字号: 8楼

回复:再谈安全软件程序分组功能的意义

从猫版的组命名来看,dll的分组很可能从原来的全局防御改进为重点防守了,能否对如何分组key_dlls给点指点?关于关键的dll,谈到的人不多。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-09-11 08:58 | 只看楼主 短消息 资料
字号: 9楼

回复: 再谈安全软件程序分组功能的意义



引用:
原帖由 CAPTjoe 于 2008-9-11 8:38:00 发表
从猫版的组命名来看,dll的分组很可能从原来的全局防御改进为重点防守了,能否对如何分组key_dlls给点指点?关于关键的dll,谈到的人不多。


不是IT专业的,所以无法阐述理论问题。
至于为何将comctl32.dll、user32.dll和ntdll.dll这三个库文件dll归入Key_Dlls组看管起来,原因在于:多数病毒活动均涉及这几个dll。
gototop
 
奇缘の随风
头像
拙长孩提狮
  • 帖子:132
  • 注册: 2006-11-07
  • 来自:
发表于: 2008-09-11 17:00 | 短消息 资料
字号: 10楼

回复:再谈安全软件程序分组功能的意义

从以前的帖子看
以前是sys_dlls  system32\*.dll
现在是key_dlls 

防护规则之一:允许My-Apps组加载Key_Dlls组中的dll
防护规则之二:禁止其它任何程序加载Key_Dlls组中的dll

陌生程序启动时是 被询问 这时可以由询问框直接添加到 信任组
或按预设规则运行。那么 陌生程序就被禁止了加载key_dlls中的DLL
结果是程序运行不起来 。 因为很多程序运行都需要system32下的dll
否则就加载失败自动退出了
最后编辑奇缘の随风 最后编辑于 2008-09-11 17:01:03
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT