狮王争霸赛第四关观后感
第四关今天晚上8点结束了。
两天来,看了各参赛队的HIPS分析结果,有一点点感想。发在这里,大家可以随便拍砖。
也许是时间较紧,也许是太在意麦青儿定的规则,总之,没看到超出规则以外的分析内容。遗憾。
其实,如果不是因为时间紧,做一些超出规定范围的测试,乃至探讨一下在中毒环境下可能的反击手段,对提高参赛者的反病毒技术水平还是很有帮助的。
比如第四关的第二个样本。完成初步测试后,可有针对性的改动一下HIPS规则(操作不是很复杂),防止cmd.exe被滥用且不影响系统程序及应用程序使用cmd.exe。然后,再测试2.exe一次,则可看到另一番景观
图1中蓝框显示的是:更动TINY的规则后病毒读写硬盘及注册表的动作受限;绿框显示的是:病毒的一个IFEO劫持动作没有漏监,但IFEO劫持项并未写入注册表内,且IceSword可以不受病毒影响,正常方式运行(见图2);红框显示的病毒的文件感染动作也没因此有漏监。
图1:
图2:
这样,既达到了行为分析目的,又方便分析后的收场操作(如果实机测试样本应考虑这个问题)。
此外,还可以再想想:利用cmd.exe作恶的病毒不少。如果你自己可用动手设置出控制cmd.exe的规则,则可在提高HIPS的防毒性能上进一大步。何乐不为?
用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
