卡饭论坛's Archiver



hwwgo 发表于 2008-8-21 19:12

千万不要学eq那样 报 openscm

ssyknuwyg 发表于 2008-8-21 19:50

回复 38楼 ktango 的帖子

拒绝这个连网,你连网络都上不了。
SVCHOST是大部分系统服务的载体,包括网络服务。

yjwfdc 发表于 2008-8-21 21:30

[quote]原帖由 kuririn 于 2008-8-21 13:16 发表
公然MJ [/quote]
用虚拟机时就用那个。实机用这个。

eq3.41
    任意程序->services.exe->信任的驱动

eq4.0
      信任的程序->scm
                   services.exe->信任的驱动

我希望
      信任的程序->services.exe->信任的驱动
               |                                       ▲
               |____________________|

深红的雪 发表于 2008-8-22 01:52

要完全禁止访问SCM的话还是openscm好吧
如果紧紧是防止通过services加驱,那么MD再想办法搞定个提示就可以了

病毒利用访问SCM加驱一般分两种情况
一是加载正常系统驱动(注意是正常的系统文件,但系统默认没有加载),这是为了利用该驱动存在的漏洞,如之前的Secdrv.sys的本地提权执行漏洞
二是加载自己的驱动,方法主要有修改系统原有的驱动(例如用烂了的用来过主防的替换Beep.sys加驱方法),或者创建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下已注册但没对应文件的驱动文件,让Services加载之;或者直接为自己的驱动创建服务
由于直接加驱主防肯定报,所以病毒才喜欢Access to SCM让services来加

当然访问SCM不仅仅是为了加驱而已,停止和创建服务也是病毒常做的,所以还是建议加入 完全禁止访问SCM 的选项吧

另外不知这样是否可行
OpenSCManager 会 call OpenEventW
所以拦 ZwOpenEvent  "Global\SvcctrlStartEvent_A3752DX"

[[i] 本帖最后由 rappar 于 2008-8-22 01:57 编辑 [/i]]

sandworm 发表于 2008-8-22 09:33

[quote]原帖由 [i]rappar[/i] 于 2008-8-22 01:52 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4567923&ptid=310409][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
要完全禁止访问SCM的话还是openscm好吧
如果紧紧是防止通过services加驱,那么MD再想办法搞定个提示就可以了

病毒利用访问SCM加驱一般分两种情况
一是加载正常系统驱动(注意是正常的系统文件,但系统默认没有加 ... [/quote]

非常感谢提供思路! 过几天我也研究一下其他软件的实现.

yjwfdc1 发表于 2008-8-22 13:12

回复 44楼 rappar 的帖子

当然访问SCM不仅仅是为了加驱而已,停止和创建服务也是病毒常做的
------------------------------------------------------------------------------------------------
我真的不会,只是请教.
1.停止服务是不是要用到一些命令呢?比如net.exe sc.exe

2.创建服务是不是要写注册表呢?阻止写注册表能不能阻止创建服务呢?

深红的雪 发表于 2008-8-22 16:21

回复 46楼 yjwfdc1 的帖子

1.不用,使用API完全可以实现,net.exe、sc.exe等程序实际上也是在使用相同的API而已
2.要写注册表的,当然也可以阻止写注册表来阻止创建服务、
但这样的有一些缺点,一是不够直观,services.exe创建个服务怎么知道是否正常行为?
二是仅能防创建和删除、配置服务而已,不能防启动、停止服务等操作

yjwfdc 发表于 2008-8-22 18:01

[quote]原帖由 [i]rappar[/i] 于 2008-8-22 16:21 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4573227&ptid=310409][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
1.不用,使用API完全可以实现,net.exe、sc.exe等程序实际上也是在使用相同的API而已
2.要写注册表的,当然也可以阻止写注册表来阻止创建服务、
但这样的有一些缺点,一是不够直观,services.exe创建个服务怎么知道 ... [/quote]
多谢指教。

hwwgo 发表于 2008-8-22 18:55

要学就学 COMODO 那种提示,
能看到真正的父进程,
而不是 services.exe

qkhge5 发表于 2008-8-22 18:58

回复 49楼 hwwgo 的帖子

*** 作者被禁止或删除 内容自动屏蔽 ***

ssyknuwyg 发表于 2008-8-22 21:00

回复 50楼 qkhge5 的帖子

同意,要就要直观,不直接不如不要

sxingbai 发表于 2008-8-23 10:48

回复 49楼 hwwgo 的帖子

comodo?记错了吧?

hwwgo 发表于 2008-8-23 11:33

现在版本的comodo不行.
怎么好像曾经在哪里见过comodo报真正的父进程的呢?

kuririn 发表于 2008-8-23 11:38

ps行  不報services.exe  直接報父進程

sanhu35 发表于 2008-8-25 21:48

恩 加上不错。阻止也没太大影响。
要安装程序就切换到安装模式
一般模式 阻止SCM  不过我是询问的

sanhu35 发表于 2008-8-25 21:49

直接报 病毒进程比较人性化 友好

sanhu35 发表于 2008-8-25 22:18

COMODO 允许SCM就允许了加驱等。 连在一起的
EQ 允许SCM后 该干嘛的还是干嘛。作用不大 虽然方便1层 但主要是用来辅助沙盘的!

MD要加SCM 可以考虑:


1。提示程序访问SCM 是启动,停止,安装,删除服务等操作(这里详细的提示不知道能不能实现) 然后再由services加载
2。直接提示病毒的SCM操作  是加驱,还是服务操作等

EQ的SCM 就提示 程序访问SCM获取不到详细的信息
若是完全信任services ,SCM询问 那样病毒访问SCM 不管阻止还是允许你都不知道病毒做了什么操作!
反而不如询问services的好

baerzake 发表于 2008-8-26 10:44

回复 57楼 sanhu35 的帖子

恩,说的不错

kml2008 发表于 2008-9-4 21:04

学习了,我迅速把SERVICES.EXE设置为自定义,以前是完全信任的。
另外大侠们,SCM是否下图这个?
[attach]350930[/attach]

[[i] 本帖最后由 kml2008 于 2008-9-4 21:45 编辑 [/i]]

JillPal 发表于 2008-9-9 11:12

回楼上的朋友,你可看看这个帖子[url]http://bbs.kafan.cn/viewthread.php?tid=263063&highlight=[/url]

页: 1 2 [3] 4

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.