瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 【毛豆套装使用初体验】分析冰刃主程序文件运行的全过程(原创)

1   1  /  1  页   跳转

【毛豆套装使用初体验】分析冰刃主程序文件运行的全过程(原创)

【毛豆套装使用初体验】分析冰刃主程序文件运行的全过程(原创)

【阅读前的重要提示】


本文主要针对对操作系统和反病毒知识有一定了解的计算机爱好者交流所创作,E文比较苦手及对操作系统知识没有足够基础的朋友,建议无视,以免浪费你们的时间;对一些操作系统老手,为方便阅读,本文对部分英文进行了翻译,翻译得如果不当请见谅……




【引子】


卸载毛豆个人防火墙安装毛豆CIS后(强烈鄙视煤球没提前介绍,导致我多做了无用功),想看看它的D+究竟有多强。就从测试冰刃主程序(有SYSTEM权限,毛豆会不会察觉呢?)的运行说起吧。




【前期准备工作】


首先必须修改对毛豆CIS的相关设置,以使毛豆监控更加全面和敏感:


1、运行桌面上毛豆CIS的快捷方式(缺省安装的话,则为COMODO Internet Security(毛豆互联网套装)),显示出毛豆CIS的主界面:


图1:






2、单击MISCELLANEOUS(杂项),再单击SETTINGS(设置),按下图做好设置(勾选项目后,单击APPLY使修改生效,下同):


图2:




图3:





3、单击DEFENSE+(防御增强模块),之后单击左侧窗格的ADVANCED(高级)


图4:




图5:




4、单击图5中的DEFENSE+ SETTINGS(防御增强模块设置),完成如下设置:


图6:




图7:





用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
最后编辑超级游戏迷 最后编辑于 2008-10-26 22:25:28
打酱油的……
分享到:
gototop
 

回复: 【毛豆套装使用初体会】分析冰刃主程序文件运行的全过程(原创)

【操作实况】


现在开始。让我们给冰刃主程序加载的活动来一层层剥皮:


5、找到冰刃软件:


图8:





6:双击冰刃软件文件夹后,毛豆CIS立刻弹出对话框,说冰刃是病毒,汗(冰刃:你毛豆CIS权限已经很大了,看我权限大点就不顺眼么?别窝里斗行不……)!注意这里要单击Ignore(忽略)后,选择“Permanently(永久忽略),否则这个对话框永远也不会消失,晕……:


图9:




7、双击运行冰刃主程序(这里要注意对图中标记进行相关设置),对所有确认对话框一律在勾选allow the request(允许此请求)项目后,再单击OK(完成)(恭喜你,噩梦开始了……):


(1)释放驱动映像文件c:\windows\system32\drivers\isdrv122.sys:


图10:




(2)创建受保护的注册表启动项(驱动程序):


图11:





(3)创建上述驱动程序的下级注册表值项type


图12:





(4)创建驱动程序的下级注册表值项Error Control


图13:




(5)创建驱动程序的下级注册表值项Start


图14:




(6)创建驱动程序的下级注册表值项Image Path


图15:





(7)在安全模式的注册表项下创建驱动程序映像文件的注册表项:


图16:




(8)通过将驱动程序注册为设备驱动的方式(内核驱动),获得系统最高权限:


图17:




最后编辑超级游戏迷 最后编辑于 2008-10-30 11:46:04
打酱油的……
gototop
 

回复: 【毛豆套装使用初体会】分析冰刃主程序文件运行的全过程(原创)

(9)创建驱动程序的下级注册表子项Enum


图18:





(10)冰刃主程序icesword.exe运行完毕,出现大家久违的窗口。


图19






【总评】


1、只有在第4步将defense+设置为Paranoid Mode(偏执狂模式)之后,才能领略到步骤7中暴风骤雨般弹出对话框的魅力,其他模式下,弹出对话框数量将随着Defense+ Security Lever(D+安全级别)的变低而出现锐减。当然,如果设置过低的安全级别,虽然你方便了,但对冰刃主程序加载后在系统里究竟干了什么,估计仍然一头浆糊,因此说,求知的人只能选择迎难而进,方能获得比一般人更多的知识和经验。


2、在步骤7中,我对冰刃创建和修改系统注册表相关键值进行了一些个人的解释,限于个人水平,一些解释可能不当,如有发现,请与本人联系纠正,顺便提前感谢一下。


3、从步骤7来看,毛豆CIS在冰刃主程序运行后生成映像文件、生成或修改注册表键值、极高进程权限提示方面实现了全面监控,基本做到了滴水不漏,本人也深深为之震撼(可能是头一次认真研究HIPS软件的缘故吧,不过毛豆表现的确让人满意)。


4、结合本文联想一下,如果你想对一个不熟悉的程序甚至病毒进行研究,除了解正常程序或病毒的加载内容,还可以在适当的时候选择“Block the request”的话,可阻止病毒的继续伤害,因此毛豆是一个不错的选择。但如果被研究的对象是可疑文件甚至恶性病毒,建议在虚拟机或其他还原软件下运行,否则可能对操作系统造成致命伤害。




【注】


本文是本人第一次耐着性子研究HIPS软件的肤浅体会,为了第7步所有截图我被迫重启十多次电脑(系统自带画图程序会被毛豆提示对话框屏蔽,所以不能连续截图,只能重启电脑使冰刃驱动加载复元后,再重新截图),且亦属于个人心得。如需转载请注明本文作者为卡卡论坛的超级游戏迷

最后编辑超级游戏迷 最后编辑于 2008-10-26 22:18:56
打酱油的……
gototop
 

回复: 【毛豆套装使用初体会】分析冰刃主程序文件运行的全过程(原创)



引用:
原帖由 hotboy 于 2008-10-26 21:53:00 发表
期待下一个病毒分析帖子
看来必须得借助SNAGIT的AVI视频截取功能了,可怜我的机啊……
打酱油的……
gototop
 

回复: 【毛豆套装使用初体验】分析冰刃主程序文件运行的全过程(原创)



引用:
原帖由 hotboy 于 2008-10-26 22:03:00 发表
建议勾选block all unknown选项,那样出现什么意外的话,所有ask将block
我装的CIS那一项的注释不知什么原因,无法显示完整,而且不仅是这一项有此问题,因此没有勾选。

难道会遭遇RPWT?
打酱油的……
gototop
 

回复: 【毛豆套装使用初体验】分析冰刃主程序文件运行的全过程(原创)



引用:
原帖由 hotboy 于 2008-10-27 0:16:00 发表


引用:
原帖由 超级游戏迷 于 2008-10-26 22:38:00 发表


引用:
原帖由 hotboy 于 2008-10-26 22:03:00 发表
建议勾选block all unknown选项,那样出现什么意外的话,所有ask将block
我装的CIS那一项的注释不知什么原因,无法显示完整,而且不仅是这一项有此问题,因此没有勾选。

难道会遭遇RPWT?


在中文系统下,毛豆显示都不完整,但不妨碍使用,明白该项大概意思就可以了,除非安装英文xp
原来如此,差点把毛豆卸载重装……

英文XP就算了,不只是翻译问题,可能还过不了WGA。看来也只能凑和用了……
打酱油的……
gototop
 

回复: 【毛豆套装使用初体验】分析冰刃主程序文件运行的全过程(原创)



引用:
原帖由 hotboy 于 2008-10-28 0:27:00 发表
貌似发现6个威胁,是啥?是不是注册机之类的
你的眼可真尖……

三个注册机,三个硬盘版一键GHOST的DD……
打酱油的……
gototop
 

回复: 【毛豆套装使用初体验】分析冰刃主程序文件运行的全过程(原创)

根据楼上的图片显示的内容,已对文中部分不正确表述做了必要纠正,感谢楼上提供tiny图片……
打酱油的……
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT