新HIPS软件 (Malware Defender) 征求测试(7月2日更新beta2)
欢迎试用Malware Defender,在7月15日前如果发送测试问题报告以及意见建议到 [email=support@torchsoft.com]support@torchsoft.com[/email] ,将得到本软件正式版的注册码。如果发现问题,请尽量将问题描述详细,并说明系统环境。测试版本下载(v1.0.0 beta2,大约1.4M):
[url=http://www.torchsoft.com/download/md_setup_chs.exe][color=#000000]http://www.torchsoft.com/download/md_setup_chs.exe[/color][/url]
beta2 主要改动:
应用程序规则支持父子应用程序设置
支持保护应用程序
文件和注册表支持按组管理
增加钩子模块规则
支持根据日志创建规则
兼容第三方shell
软件名称: Malware Defender
简介:
Malware Defender 是一个 HIPS (主机入侵防御系统)软件,它可以有效的保护您的计算机系统免受恶意软件(病毒、蠕虫、木马、广告软件、间谍软件、按键记录软件、rootkit 等)的侵害。
Malware Defender 也是一个 rootkit 检测软件,它提供了很多有效的工具来检测和删除已经安装在您的计算机系统中的恶意软件。
系统需求:
Windows 2000 (Service Pack 4)
Windows XP (32-bit)
Windows 2003 (32-bit)
Windows Vista (32-bit)
主要功能:
实时保护系统
监控对进程、文件和注册表的可疑操作。
能够检测到各种已知和未知的恶意软件。
比较高的性能和比较低的资源占用。
提供直观的规则管理器。
进程管理器
检测隐藏进程和线程。
检测未通过签名验证的进程和模块。
使用底层技术结束进程和线程。
挂起/恢复进程和线程。
卸载进程模块。
关闭进程句柄。
内核模块管理器
检测隐藏内核模块和内核线程。
检测未通过签名验证的内核模块。
结束、挂起或恢复内核线程。
删除内核延迟调用定时器。
钩子检测器
检测并恢复系统服务表钩子(SSDT钩子)。
检测并恢复Win32K服务表钩子(shadow SSDT钩子)。
检测并恢复中断描述表钩子(IDT钩子)。
检测并恢复SYSENTER处理例程。
检测并恢复内核对象钩子。
检测并恢复系统通知例程。
检测并恢复内核模式代码钩子。
检测并恢复用户模式代码钩子。
检测并恢复全局消息钩子。
检测附加设备。
检测驱动程序分发例程。
自动运行程序管理器
搜索所有已知的自动运行程序所在位置。
检测隐藏自动运行程序。
检测新增的自动运行程序。
允许撤销和重做对自动运行程序的删除操作。
文件浏览器
检测隐藏的文件和文件夹。
显示和删除NTFS数据流。
删除使用中的文件。
注册表编辑器
全功能注册表编辑器。
检测隐藏注册表条目。
[attach]293144[/attach]
[[i] 本帖最后由 sandworm 于 2008-7-2 23:17 编辑 [/i]] 楼主是作者还是和作者有什么关系? [:01:] [:01:] [:01:]
又多了一个中文hips 看起来不错,规则界面有似曾相识的感觉(S3?。。。)
Down下来试试。好的话我再来推荐。^_^
进网站看了一下,是Registry Workshop这个软件的作者的新作品,难怪界面(菜单、工具条、窗体布局)那么熟悉。
[[i] 本帖最后由 Devy 于 2008-6-23 14:22 编辑 [/i]] 国人的软件
难道又是ps那样的开发方式? [quote]原帖由 [i]baerzake[/i] 于 2008-6-23 13:50 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=3896473&ptid=274577][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
楼主是作者还是和作者有什么关系? [/quote]
您好,我就是作者 那个什么系统内核文件是什么东东??
[attach]293249[/attach]
[attach]293250[/attach]
文件规则是什么意思?
只有写权限??
[attach]293251[/attach] [quote]原帖由 [i]my-apple[/i] 于 2008-6-23 14:51 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=3896944&ptid=274577][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
那个什么系统内核文件是什么东东??
文件规则是什么意思?
只有写权限??
[/quote]
内核符号文件是微软提供的kernel symbols,下载后存放在安装目录,不会对系统有任何影响。
文件和注册表规则只提供写/删除控制,目的是减少规则复杂度。 感觉不怎么样, 不过要命的是托盘只是个摆设,没有任何选项,可能是试用的关系
[attach]293280[/attach]
[attach]293281[/attach] 从截图上看
没有看出明确的父子级规则的设置
规则没有优先级和父子级么?
是不是和咖啡类似? 是hips软件还是系统工具软件?或者两者兼有。
hips功能比较简单,或是称为代hips的系统工具(我乱说的,不要介意)
[attach]293299[/attach]
那个验证是通过什么验证的?
winlogon.exe没有通过验证, 不错啊 加油做 [quote]原帖由 [i]llllkkkk[/i] 于 2008-6-23 15:05 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=3897025&ptid=274577][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
感觉不怎么样, 不过要命的是托盘只是个摆设,没有任何选项,可能是试用的关系
[/quote]
谢谢评价.托盘图标主要用来打开主界面,开启/关闭 实时保护,与试用没关系. [quote]原帖由 [i]没注册[/i] 于 2008-6-23 15:09 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=3897052&ptid=274577][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
从截图上看
没有看出明确的父子级规则的设置
规则没有优先级和父子级么?
是不是和咖啡类似? [/quote]
没有父子规则关系,只有优先级设置. [quote]原帖由 [i]my-apple[/i] 于 2008-6-23 15:16 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=3897089&ptid=274577][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
是hips软件还是系统工具软件?或者两者兼有。
hips功能比较简单,或是称为代hips的系统工具(我乱说的,不要介意)
那个验证是通过什么验证的?
winlogon.exe没有通过验证, [/quote]
两者兼有,HIPS方面该有的功能基本都有吧.
文件验证使用微软提供的服务,利用系统安装的证书验证文件签名。不是所有微软自己的程序都签过名,不过winlogon.exe应该是签名的,您可以使用其它软件(如 process explorer)验证一下看是否本软件的bug. HIPS与ARK的结合,楼主很有目光很有远见!!!!!!!!!!
我也曾建议某软件的作者加入ARK功能,但未被采纳,楼主的做法证实了我的想法,未来的发展绝对是HIPS中囊括了强大的ARK功能,否则根本称不上主动防御,即便病毒进入内核层,也能继续与之抗衡
苍天有眼,终于有人关注到这个了[:30:]
建议:
1、趁现在软件尚未定型还来得及,不要采用挂钩SDT的方式进行拦截,应采用更加隐蔽的挂钩方式进行拦截,增大被bypass的难度
2、提示太过简单。比如加载驱动的提示太模糊,从询问框中看不出加载驱动 跟Registry Workshop酷似啊,直接拿Registry Workshop面板做的吧,图标爆丑[:xi41:]
回复 13楼 sandworm 的帖子
问题是无论我在托盘上单,双击,右键也没有任何反应附:我用的是 ASTON shell ,是否加强对第三方的支持? 刚才试了一下,回来看大家都讨论开了,我也说说下我的看法。
[b]1、体积及工作内存占用控制还行。[/b]
[attach]293382[/attach][attach]293383[/attach]
[b]2、附加功能丰富,可以查看进程、内核模块、钩子、自动运行等的详细信息(对未验证的内容可以高亮显示),还提供了简单的文件浏览器及注册表编辑并可在其中直接生成规则(当然,这里的注册表编辑器和RegWorkShop比差很多功能)。[/b]
[b][color=red]但很多信息在第一次显示时程序检索速度较慢。[/color][/b]
[attach]293384[/attach][attach]293385[/attach][attach]293386[/attach][attach]293387[/attach][attach]293388[/attach][attach]293389[/attach]
[b]3、默认规则不能删除,只能部分修改(不能修改程序路径、“应用程序规则(系统)”中的程序规则部分条目设置不可更改)。[/b]
[b]普通与安全等级从规则中没有看到太大变化,仅发现“应用程序规则(普通)”中所有程序(*)的规则动作从允许变为询问。[/b]
[b][color=red]应用程序规则中没有父子进程概念、没有排除,而且控制不够全面,比如直接屏幕访问(截屏)、管道消息、终止其它进程等的控制没有。[/color][/b]
[b][color=red]FD、RD仅有写权限控制,没有读权限控制,驱动控制只有执行权限控制,没有安装权限控制。[/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000][attach]293392[/attach][attach]293393[/attach][attach]293394[/attach][attach]293395[/attach][attach]293390[/attach][attach]293391[/attach][/color][/b]
[b][color=#ff0000][/color][/b]
[color=red][b]4、将安全等级设为高,在不添加任何规则的情况下,我运行WinSnap,MD除了在进程可以看到异常外,其它没有任何提示。运行记事本啦、画图啦什么的也都没有,想想可能判断为Windows可信程序,也就罢了,WinSnap为什么没报啊?不明白。[/b][/color]
[b][attach]293396[/attach][attach]293397[/attach][attach]293398[/attach][/b]
[b][color=#ff0000][/color][/b] [:14:] [:14:] [:14:] 水一个。。。。。我是进来看LZ的名字了。。。。。。sandworm。。。。沙滩蠕虫?沙蠕虫?