瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件 注册表防护和注册表查杀功能

1   1  /  1  页   跳转

[建议] 注册表防护和注册表查杀功能

注册表防护和注册表查杀功能

刚刚想到了一个恶意软件攻击系统的方式,目前我没有关注过类似的样本,但是类似的样本应该是有的,实在没有也可以自己造一个,因为实现起来的技术难度并不大。我怀疑以前有人在论坛里面反馈过的全盘查杀无论如何都扫描不出来病毒但是系统中还是在源源不断地生成病毒文件的原因很可能就是因为恶意代码不在文件而在注册表当中,不包含恶意代码的恶意程序从注册表中读取恶意代码写入到文件中。


希望瑞星能够对这种方式进行防御和查杀。


考虑以下的攻击方式:


步骤:
1. 将恶意代码的二进制 payload 存入注册表中(注册表可以直接存储二进制数据)
2. 恶意软件(不包含恶意代码)从注册表中读取恶意代码的二进制 payload,将其载入内存映像或写到文件然后执行其中的恶意代码


建议:
1. 瑞星查杀引擎新增“注册表查杀”,对注册表中的所有键值进行扫描,如果遇到包含有恶意代码的内容则删除该键值
2. 瑞星“注册表监控”除了监控恶意软件对注册表的篡改之外,还应该像文件监控那样,对注册表内容的存取进行监控,阻断程序向注册表中写入恶意代码和从注册表中读取恶意代码,一旦发现注册表中的恶意代码则删除该键值。




这里我提供一个包含了一个勒索病毒二进制 payload 的注册表文件,可以供你们测试。
这个注册表信息文件会在HKEY_CURRENT_USER\TestKey中添加一个名为 Test 的键值,它的数据就是一个勒索病毒的二进制数据。

用户系统信息:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Edge/18.17763

附件附件:

你的下载权限 1 低于此附件所需权限 255, 你无权查看此附件

最后编辑麦青儿 最后编辑于 2019-03-21 09:25:45
分享到:
gototop
 

回复:注册表防护和注册表查杀功能

谢谢立刻回答  已转相关人员研究
gototop
 

回复 1F 立刻回答 的帖子

以下是分析人员的回复:
现在无文件病毒是越来越多了,楼主的方法注册表扫描是一个方向,但是注册表扫描存在一个问题,就是存储的内容加密变形太容易了,容易陷入猫抓耗子的死胡同,瑞星esm产品采取的策略是把注册表存储的内容当作后处理解决,注册表中存储的内容都需要模块加载,并且在内存中常驻,通过扫描系统中的活体进程、模块、线程等,识别出一些无文件的病毒,在根据特定的病毒进行针对性的后处理,解决注册表中的一些问题。
gototop
 

回复 3F 麦青儿 的帖子

我自己写了一个我所说方案的恶意程序,供你们测试看是否能拦截:
https://bbs.kafan.cn/thread-2145154-1-1.html

(这是一个勒索病毒)
gototop
 

回复 4F 立刻回答 的帖子

已当做漏报处理
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT