史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   資訊系統安全備援防護技術文件 (http://forum.slime.com.tw/f139.html)
-   -   小測lns的防止線程侵加功能 (http://forum.slime.com.tw/thread179355.html)

psac 2006-07-06 05:31 PM
小測lns的防止線程侵加功能
 
小測lns的防止線程侵加功能
用了幾天lns,對它的監視線程侵加功能有點好奇,沒事做個試驗玩玩
首先我的安全組合是winpooch+lns,winpooch剛好是屬於線程侵加類的軟件:
附:部分Winpooch的侵加線程
[PID: 540][C:\Program Files\Soft4Ever\looknstop\looknstop.exe]
[C:\WINDOWS\system32\fwapi.dll]
[D:\software\Winpooch\SpyDll.dll] ————Winpooch的侵加線程
[C:\Program Files\Soft4Ever\looknstop\plugin_language.dll]
[C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll]
[D:\software\bbLean\plugins\bbLeanSkin\BBLEANSKINENG.DLL]
[C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll]
[PID: 1960][E:\download\tools\NoOpenQQ2.exe]
[D:\software\Winpooch\SpyDll.dll] ————Winpooch的侵加線程
[C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll]
[D:\software\bbLean\plugins\bbLeanSkin\BBLEANSKINENG.DLL]
[C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll]
那就也不用找什麼了直接試驗吧
關閉線程侵加:
http://img142.imageshack.us/img142/1086/42jf.jpg
winpooch狀態
http://img142.imageshack.us/img142/6310/11sk6.jpg
可以看到,除了以服務啟動的工作行程外winpooch已經完成對對常用軟件的監控
試試效果:
新增文本文件,改名為新增 文本文件.sys,winpooch跳出警告視窗,拒絕,改名失敗
http://img215.imageshack.us/img215/2204/27uk.jpg
新增HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run鍵值,跳出警告,拒絕,寫入失敗:
http://img150.imageshack.us/img150/594/33sg.jpg
由上看出在正常情況下,winpooch的監控還是比較成功的
打開lns的監視線程侵加試試
http://img215.imageshack.us/img215/18/58oc.jpg
重啟winpooch,發現程式無法正常啟動,採用非常手段。。。
http://img215.imageshack.us/img215/1985/64wk.jpg
終於程式啟動了,狗眼也開始亂轉。。
http://img150.imageshack.us/img150/6003/75kx.jpg
先看看程式狀態:
http://img142.imageshack.us/img142/7103/104eo.jpg
幾乎所有線程監控全部失效。。。唯一還可以的是它自己。。。因為這個不是侵加了。。。
試試監控效果:
將剛才的文本文件繼續改名為:新增 文本文件.sys
沒有跳出任何提示,改名成功
http://img215.imageshack.us/img215/6641/82tz.jpg
新增註冊表項,成功
http://img150.imageshack.us/img150/472/99xu.jpg
由此可見,lns對於線程侵加的功能還是有保留性的選擇開啟與否比較好,因為很多安全軟件都是用線程侵加來達到監控的效果的,比如nod32,瑞星,都是會插入線程的,可能會產生相容性的問題。當然如果你用hips軟件,強烈建議關閉此項功能。
附:部分nod32插入線程:
[PID: 368][\SystemRoot\System32\smss.exe]
[PID: 600][\??\C:\WINDOWS\system32\csrss.exe]
[PID: 624][\??\C:\WINDOWS\system32\winlogon.exe]
[PID: 692][C:\WINDOWS\system32\services.exe]
[PID: 708][C:\WINDOWS\system32\savedump.exe]
[PID: 716][C:\WINDOWS\system32\lsass.exe]
[C:\WINDOWS\system32\imon.dll] ----nod32插入線程
[C:\Program Files\Eset\pr_imon.dll] ----nod32插入線程
[PID: 884][C:\WINDOWS\system32\svchost.exe]
[PID: 952][C:\WINDOWS\system32\svchost.exe]
[C:\WINDOWS\system32\imon.dll] ----nod32插入線程
[C:\Program Files\Eset\pr_imon.dll] ----nod32插入線程
[PID: 1044][C:\WINDOWS\System32\svchost.exe]
[C:\WINDOWS\system32\imon.dll] ----nod32插入線程
[C:\Program Files\Eset\pr_imon.dll] ----nod32插入線程
最後:本人水平有限,又是lns的新手,有不對之處在所難免,敬請指出,謝謝


所有時間均為台北時間。現在的時間是 08:17 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1