卡饭论坛 » HIPS专区 » EQSysSecure » EQSecure 应用程序（AD）拦截功能介绍

spbic 发表于 2007-11-6 15:17

EQSecure 应用程序（AD）拦截功能介绍

　
　[attach]149711[/attach]

　

[[i] 本帖最后由 spbic 于 2007-11-7 18:34 编辑 [/i]]

baerzake 发表于 2007-11-6 15:23

不错，如果能展开来详细说说就更好了。[:01:] COPY了一份到EQ区，按理说应该发在EQ区，不过这个对其他HIPS也适用，所以此帖保留。

a256886572008 发表于 2007-11-6 18:06

"安裝服務或驅動"，這個應該還沒進"系統內核"吧[:11:]

我測試病毒時，都是允許的[:14:]

因為就算允許了，HIPS還是可以攔住後續操作！

但是"加載驅動程序"，就不能允許了！

根據我的經驗，測試病毒時，必須攔截的AD如下
[quote]
1.加載驅動程序
2.訪問物理內存
3.底層磁盤操作
4.結束/掛起進程
5.關閉/重啟系統
6.安裝全局鉤子
7.鍵盤紀錄
8.修改系統時間
9.直接操作系統內核
10.模擬鍵盤鼠標
[/quote]

[[i] 本帖最后由 a256886572008 于 2007-11-6 18:14 编辑 [/i]]

a256886572008 发表于 2007-11-6 18:19

回复 3楼 smallgame 的帖子

舉個盜號病毒的例子，他的行為步驟如下

1.病毒生成*.dll
2.病毒修改Explorer.EXE的進程內存
3.病毒對Explorer.EXE創建遠程線程
4.Explorer.EXE安裝*.dll這個全局鉤子

Imnopuo 发表于 2007-11-6 18:37

好文章,谢谢分享[:01:]

hackboss 发表于 2007-11-6 19:10

再详细点就更好了

sxingbai 发表于 2007-11-6 21:12

提权
伪装
偷窥

AUTO1980 发表于 2007-11-7 09:37

对学习EQ有很大帮助啊   
好东西

spbic 发表于 2007-11-7 18:35

谢谢提醒...已修改.. [img]http://rs.phpwind.net/E___3797ENLDPWFG.gif[/img]

baerzake 发表于 2007-11-7 18:52

楼上表情好可爱[:24:]

晃少 发表于 2007-11-7 19:19

呵呵，还是不够详细啊，学习啊

竹节大将军 发表于 2007-11-7 21:56

回复 11楼 baerzake 的帖子

从EQ论坛copy的吧，呵呵[img]http://rs.phpwind.net/E___3800ENLDPWFG.gif[/img][img]http://rs.phpwind.net/E___3796ENLDPWFG.gif[/img][img]http://rs.phpwind.net/E___3893ENWGPWFG.gif[/img][img]

[[i] 本帖最后由 竹节大将军 于 2007-11-7 22:04 编辑 [/i]]

Oceanzd 发表于 2007-11-10 00:53

回复 2楼 baerzake 的帖子

[:xi38:] 这个分加的，够狠

想当年挣个10分都要得意半天[:xi34:]

spbic 发表于 2007-11-10 01:28

[:xi34:] 我还不知道积分可以用来干嘛...

feiren 发表于 2007-11-10 14:44

了解下

84134817 发表于 2008-8-1 18:36

[:xi45:] 严重学习拉

zhuhaimi 发表于 2008-8-8 11:04

謝謝  學習了下

赤虎 发表于 2008-9-2 21:15

学习中....[:17:]

Richard_Chu 发表于 2008-12-10 10:40

里面有好多术语要是有通俗的解释就更好了，感谢楼主

Kasperskyer 发表于 2008-12-28 11:23

感谢楼主
真辛苦了

查看完整版本: EQSecure 应用程序（AD）拦截功能介绍