史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-07-06, 05:31 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 軟體 - 小測lns的防止線程侵加功能

小測lns的防止線程侵加功能
用了幾天lns,對它的監視線程侵加功能有點好奇,沒事做個試驗玩玩
首先我的安全組合是winpooch+lns,winpooch剛好是屬於線程侵加類的軟件:
附:部分Winpooch的侵加線程
[PID: 540][C:\Program Files\Soft4Ever\looknstop\looknstop.exe]
[C:\WINDOWS\system32\fwapi.dll]
[D:\software\Winpooch\SpyDll.dll] ————Winpooch的侵加線程
[C:\Program Files\Soft4Ever\looknstop\plugin_language.dll]
[C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll]
[D:\software\bbLean\plugins\bbLeanSkin\BBLEANSKINENG.DLL]
[C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll]
[PID: 1960][E:\download\tools\NoOpenQQ2.exe]
[D:\software\Winpooch\SpyDll.dll] ————Winpooch的侵加線程
[C:\Program Files\Logitech\MouseWare\System\LgWndHk.dll]
[D:\software\bbLean\plugins\bbLeanSkin\BBLEANSKINENG.DLL]
[C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll]
那就也不用找什麼了直接試驗吧
關閉線程侵加:
http://img142.imageshack.us/img142/1086/42jf.jpg
winpooch狀態
http://img142.imageshack.us/img142/6310/11sk6.jpg
可以看到,除了以服務啟動的工作行程外winpooch已經完成對對常用軟件的監控
試試效果:
新增文本文件,改名為新增 文本文件.sys,winpooch跳出警告視窗,拒絕,改名失敗
http://img215.imageshack.us/img215/2204/27uk.jpg
新增HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run鍵值,跳出警告,拒絕,寫入失敗:
http://img150.imageshack.us/img150/594/33sg.jpg
由上看出在正常情況下,winpooch的監控還是比較成功的
打開lns的監視線程侵加試試
http://img215.imageshack.us/img215/18/58oc.jpg
重啟winpooch,發現程式無法正常啟動,採用非常手段。。。
http://img215.imageshack.us/img215/1985/64wk.jpg
終於程式啟動了,狗眼也開始亂轉。。
http://img150.imageshack.us/img150/6003/75kx.jpg
先看看程式狀態:
http://img142.imageshack.us/img142/7103/104eo.jpg
幾乎所有線程監控全部失效。。。唯一還可以的是它自己。。。因為這個不是侵加了。。。
試試監控效果:
將剛才的文本文件繼續改名為:新增 文本文件.sys
沒有跳出任何提示,改名成功
http://img215.imageshack.us/img215/6641/82tz.jpg
新增註冊表項,成功
http://img150.imageshack.us/img150/472/99xu.jpg
由此可見,lns對於線程侵加的功能還是有保留性的選擇開啟與否比較好,因為很多安全軟件都是用線程侵加來達到監控的效果的,比如nod32,瑞星,都是會插入線程的,可能會產生相容性的問題。當然如果你用hips軟件,強烈建議關閉此項功能。
附:部分nod32插入線程:
[PID: 368][\SystemRoot\System32\smss.exe]
[PID: 600][\??\C:\WINDOWS\system32\csrss.exe]
[PID: 624][\??\C:\WINDOWS\system32\winlogon.exe]
[PID: 692][C:\WINDOWS\system32\services.exe]
[PID: 708][C:\WINDOWS\system32\savedump.exe]
[PID: 716][C:\WINDOWS\system32\lsass.exe]
[C:\WINDOWS\system32\imon.dll] ----nod32插入線程
[C:\Program Files\Eset\pr_imon.dll] ----nod32插入線程
[PID: 884][C:\WINDOWS\system32\svchost.exe]
[PID: 952][C:\WINDOWS\system32\svchost.exe]
[C:\WINDOWS\system32\imon.dll] ----nod32插入線程
[C:\Program Files\Eset\pr_imon.dll] ----nod32插入線程
[PID: 1044][C:\WINDOWS\System32\svchost.exe]
[C:\WINDOWS\system32\imon.dll] ----nod32插入線程
[C:\Program Files\Eset\pr_imon.dll] ----nod32插入線程
最後:本人水平有限,又是lns的新手,有不對之處在所難免,敬請指出,謝謝
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 04:20 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2021, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1