12   1  /  2  页   跳转

狮王争霸赛第四关观后感

狮王争霸赛第四关观后感

第四关今天晚上8点结束了。
两天来,看了各参赛队的HIPS分析结果,有一点点感想。发在这里,大家可以随便拍砖。


也许是时间较紧,也许是太在意麦青儿定的规则,总之,没看到超出规则以外的分析内容。遗憾。

其实,如果不是因为时间紧,做一些超出规定范围的测试,乃至探讨一下在中毒环境下可能的反击手段,对提高参赛者的反病毒技术水平还是很有帮助的。

比如第四关的第二个样本。完成初步测试后,可有针对性的改动一下HIPS规则(操作不是很复杂),防止cmd.exe被滥用且不影响系统程序及应用程序使用cmd.exe。然后,再测试2.exe一次,则可看到另一番景观

图1中蓝框显示的是:更动TINY的规则后病毒读写硬盘及注册表的动作受限;绿框显示的是:病毒的一个IFEO劫持动作没有漏监,但IFEO劫持项并未写入注册表内,且IceSword可以不受病毒影响,正常方式运行(见图2);红框显示的病毒的文件感染动作也没因此有漏监。


图1:








图2:








这样,既达到了行为分析目的,又方便分析后的收场操作(如果实机测试样本应考虑这个问题)。

此外,还可以再想想:利用cmd.exe作恶的病毒不少。如果你自己可用动手设置出控制cmd.exe的规则,则可在提高HIPS的防毒性能上进一大步。何乐不为?

用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
最后编辑baohe 最后编辑于 2010-03-28 20:48:58
分享到:
gototop
 

回复:狮王争霸赛第四关观后感

“没看到超出规则以外”

猫叔“超出规则”是不是自己制作HIPS规则,然后通过规则来防御病毒运行。
要深入,要专一.......
gototop
 

回复: 狮王争霸赛第四关观后感



引用:
原帖由 辛达星郁 于 2010-3-28 20:35:00 发表
“没看到超出规则以外”

猫叔“超出规则”是不是自己制作HIPS规则,然后通过规则来防御病毒运行。



HIPS本质上就是个性化的安全工具。讲究的就是——量体裁衣。


使用所谓通用规则或默认规则,那就把一个好好的HIPS糟蹋了。
最后编辑麦青儿 最后编辑于 2010-03-29 13:49:42
gototop
 

回复:狮王争霸赛第四关观后感

抓狂!

“糟  蹋”二字也过滤啊?
gototop
 

回复:狮王争霸赛第四关观后感

  原来是这么一回事

看来以后还要学着利用HIPS防御病毒,这样也可以更好的了解系统知识,可以再次深入学习。
要深入,要专一.......
gototop
 

回复:狮王争霸赛第四关观后感

对CMD.VBS语法两眼一抹黑
CMD还马马虎虎,VBS完全抓瞎
理论上通过控制命令行对CMD的监控可以达到比较好的效果。但是事实上远远没有我禁止CMD随意启动进程效果好
gototop
 

回复:狮王争霸赛第四关观后感

顺便说一句,猫叔你干嘛不提前爆料下你的打分情况
gototop
 

回复:狮王争霸赛第四关观后感

这个倒是没有想到
gototop
 

回复:狮王争霸赛第四关观后感

在这次分析过程中我或以不少,很感谢猫叔给的建议,我以后注意。

还有就是猫叔,一般的很少有人使用HIPS来防御自己的主机,一般的都是些对HIPS非常有研究的,我使用的SSM相对来说是比较简单的,但是我感觉也是很好用的一个,但是缺点也是有的缺乏ND,就是对网络的监控。在这次比赛中明显感觉到不足。

对于病毒行为分析和HIPS防御,我要学的东西还很多

谢谢猫叔了
gototop
 

回复: 狮王争霸赛第四关观后感



引用:
原帖由 ty88 于 2010-3-28 20:58:00 发表
顺便说一句,猫叔你干嘛不提前爆料下你的打分情况  



现在还没评分。再等等
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT