主題
:
小測lns的防止線程侵加功能
查看單個文章
2006-07-06, 05:31 PM
#
1
psac
榮譽會員
榮譽勳章
勳章總數
19
UID - 3662
在線等級:
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
精華
: 2
現金: 5253 金幣
資產: 33853 金幣
小測lns的防止線程侵加功能
小測lns的防止線程侵加功能
用了幾天lns,對它的監視線程侵加功能有點好奇,沒事做個試驗玩玩
首先我的安全組合是winpooch+lns,winpooch剛好是屬於線程侵加類的軟件:
附:部分Winpooch的侵加線程
[PID: 540][C:\Program Files\Soft4Ever\looknstop\looknstop.exe]
[C:\WINDOWS\system32\fwapi.dll]
[D:\software\Winpooch\SpyDll.dll] ————Winpooch的侵加線程
[C:\Program Files\Soft4Ever\looknstop\plugin_language.dll]
[C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll]
[D:\software\bbLean\plugins\bbLeanSkin\BBLEANSKINENG.DLL]
[C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll]
[PID: 1960][E:\download\tools\NoOpenQQ2.exe]
[D:\software\Winpooch\SpyDll.dll] ————Winpooch的侵加線程
[C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll]
[D:\software\bbLean\plugins\bbLeanSkin\BBLEANSKINENG.DLL]
[C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll]
那就也不用找什麼了直接試驗吧
關閉線程侵加:
winpooch狀態
可以看到,除了以服務啟動的工作行程外winpooch已經完成對對常用軟件的監控
試試效果:
新增文本文件,改名為新增 文本文件.sys,winpooch跳出警告視窗,拒絕,改名失敗
新增HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run鍵值,跳出警告,拒絕,寫入失敗:
由上看出在正常情況下,winpooch的監控還是比較成功的
打開lns的監視線程侵加試試
重啟winpooch,發現程式無法正常啟動,採用非常手段。。。
終於程式啟動了,狗眼也開始亂轉。。
先看看程式狀態:
幾乎所有線程監控全部失效。。。唯一還可以的是它自己。。。因為這個不是侵加了。。。
試試監控效果:
將剛才的文本文件繼續改名為:新增 文本文件.sys
沒有跳出任何提示,改名成功
新增註冊表項,成功
由此可見,lns對於線程侵加的功能還是有保留性的選擇開啟與否比較好,因為很多安全軟件都是用線程侵加來達到監控的效果的,比如nod32,瑞星,都是會插入線程的,可能會產生相容性的問題。當然如果你用hips軟件,強烈建議關閉此項功能。
附:部分nod32插入線程:
[PID: 368][\SystemRoot\System32\smss.exe]
[PID: 600][\??\C:\WINDOWS\system32\csrss.exe]
[PID: 624][\??\C:\WINDOWS\system32\winlogon.exe]
[PID: 692][C:\WINDOWS\system32\services.exe]
[PID: 708][C:\WINDOWS\system32\savedump.exe]
[PID: 716][C:\WINDOWS\system32\lsass.exe]
[C:\WINDOWS\system32\imon.dll] ----nod32插入線程
[C:\Program Files\Eset\pr_imon.dll] ----nod32插入線程
[PID: 884][C:\WINDOWS\system32\svchost.exe]
[PID: 952][C:\WINDOWS\system32\svchost.exe]
[C:\WINDOWS\system32\imon.dll] ----nod32插入線程
[C:\Program Files\Eset\pr_imon.dll] ----nod32插入線程
[PID: 1044][C:\WINDOWS\System32\svchost.exe]
[C:\WINDOWS\system32\imon.dll] ----nod32插入線程
[C:\Program Files\Eset\pr_imon.dll] ----nod32插入線程
最後:本人水平有限,又是lns的新手,有不對之處在所難免,敬請指出,謝謝
__________________
送花文章: 3,
收花文章: 1631 篇, 收花: 3205 次
psac
查看公開訊息
查尋 psac 發表的更多文章