卡饭论坛 » HIPS专区 » Malware Defender » 建议增加拦截SCM访问

baerzake 发表于 2008-8-20 08:25

建议增加拦截SCM访问

昨天用MD测试病毒，发现现在利用SCM调用services.exe加驱的病毒还真是多，MD现在不拦截访问SCM，这样中间感觉断了一层，突然跳出services.exe加驱的提示感觉很突兀，如果先拦截病毒访问SCM，然后再提示加驱应该会好点，在AD里加入SCM拦截，直接设置为阻止，这样就直接禁止了调用services.exe加驱，还能减少提示，不知大家意见如何？

sandworm 发表于 2008-8-20 09:51

要拦截SCM，好像需要安装用户态的钩子，拦截Advapi32.dll中的函数调用，这样就要把钩子安装到每个进程。MD没有阻止程序对自身进程的内存修改，病毒理论上可以把钩子拿掉。

不知那个HIPS是拦截SCM的，我看看是怎么实现的。

baerzake 发表于 2008-8-20 09:56

回复 2楼 sandworm 的帖子

EQ,COMODO都拦截SCM，你可以参考下

yjwfdc 发表于 2008-8-20 09:59

eq和马马什么都会。

不过我觉得不好，我没有开scm拦载的。

最好还是到了a调用services.exe加驱这一步才说是否允许a调用services.exe加驱，

如果选择阻止并且结束进程，就结束a。不是结束services.exe

[[i] 本帖最后由 yjwfdc 于 2008-8-20 10:00 编辑 [/i]]

baerzake 发表于 2008-8-20 10:04

回复 4楼 yjwfdc 的帖子

不要把EQ套用到MD上来，二者不一样，MD根本不会提示a调用services.exe，不知道你有没有试过，这正是我要加SCM拦截的原因

yjwfdc 发表于 2008-8-20 10:05

不加是否充许 [color=red]仿问服务管理器[/color]
加个是否允许 [color=red]调用services.exe加驱[/color]

baerzake 发表于 2008-8-20 10:06

回复 6楼 yjwfdc 的帖子

换个说法而已，没什么意义

yjwfdc 发表于 2008-8-20 10:06

[quote]原帖由 [i]baerzake[/i] 于 2008-8-20 10:04 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4549626&ptid=310409][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
不要把EQ套用到MD上来，二者不一样，MD根本不会提示a调用services.exe，不知道你有没有试过 [/quote]
装过看过一下，没有用过。我想，功能可以差不多的。

baerzake 发表于 2008-8-20 10:08

回复 8楼 yjwfdc 的帖子

你不了解拦截SCM的好处，一般程序阻止访问SCM后就不能再调用services.exe，后面的加驱提示也可以省掉了，这对新手比较方便，否则对于系统程序加驱一般新手搞不好就要放行

yjwfdc 发表于 2008-8-20 10:09

[quote]原帖由 [i]baerzake[/i] 于 2008-8-20 10:06 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4549655&ptid=310409][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
换个说法而已，没什么意义 [/quote]

意义是阻止的位置不同，

听说 仿问服务管理器不一定加驱，所以在这一步阻止不对。

所以仿问服务管理器可以允许，调用services.exe加驱才阻止，但要追究调用程序，不是要追究services.exe

baerzake 发表于 2008-8-20 10:12

回复 10楼 yjwfdc 的帖子

正常程序根本不会访问SCM，或者说阻止了不会有影响，当然如果能做到提示病毒调用XX系统进程加驱也可以，问题是病毒是通过访问SCM调用系统进程，HIPS能不能在别的位置拦截我不清楚

yjwfdc 发表于 2008-8-20 10:16

[quote]原帖由 [i]baerzake[/i] 于 2008-8-20 10:12 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4549714&ptid=310409][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
正常程序根本不会访问SCM，或者说阻止了不会有影响，当然如果能做到提示病毒调用XX系统进程加驱也可以，问题是病毒是通过访问SCM调用系统进程，HIPS能不能在别的位置拦截我不清楚 [/quote]

原来这样，我太菜，不知道。多谢指教。

yjwfdc 发表于 2008-8-20 10:20

再想想也还有不同，

比如需要充许a调用services.exe加b驱.
阻止a调用services.exe加c驱.

阻止或者允许 仿问服务器都起不了相同作用了。

baerzake 发表于 2008-8-20 10:24

回复 13楼 yjwfdc 的帖子

我不太清楚你的意思，你是要某程序加a驱阻止加b驱？
实际上加了驱动的程序用HIPS拦截根本没有意义了，加了a驱的程序你阻止它加b驱它想的话照样可以加b驱，加驱的程序直接信任即可
不信任的绝对不能允许加驱

kuririn 发表于 2008-8-20 11:42

a不會調用services.exe

不 應該說a不會運行services.exe

所以不管你設允許或阻止都沒用  也沒必要

zhr5898 发表于 2008-8-20 11:51

恩 同意局长的建议···
直接跳出services.exe加驱确实不好判断，特别对一般的使用者``````

sxingbai 发表于 2008-8-20 12:14

现在保护服务控制的有eq comodo s3 ps
后两个的提示可能更好些
尤其ps
直接报某程序通过服务控制安装服务或驱动
链条断了，就难于发现原始进程

sxingbai 发表于 2008-8-20 12:27

补充了这些保护
制定规则会简便，对系统进程全信任也无妨
它也是继承的基础，service就会以父进程权限执行，允许加载驱动或否

qkhge5 发表于 2008-8-20 12:29

*** 作者被禁止或删除 内容自动屏蔽 ***

baerzake 发表于 2008-8-20 12:36

[quote]原帖由 [i]sxingbai[/i] 于 2008-8-20 12:14 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4550930&ptid=310409][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
尤其ps
直接报某程序通过服务控制安装服务或驱动
链条断了，就难于发现原始进程 [/quote]
恩，这样报确实更容易理解，不错，希望MD考虑

查看完整版本: 建议增加拦截SCM访问