另类的防御术-----墨者革离计
墨者出了新版二代了,我试试了,以下帖给Fans一个参考吧[quote]
魔高一尺,道高一杖。墨者公司推出的一种全新安全防护技术“革离术”。从字面上来理解:一种全新的,具有革命性和颠覆历史观念意义的分离技术;同时也取古代墨者“革离”之精神。其技术还创新了对关键资源进行控制的权限管理功能。[color=red]如:注册表、文件、目录、NTFS和FAT32磁盘权限的权限智能分析和控制,系统底层驱动、系统钩子安装的监控,启动项的加载以及其他系统资源的监控和防护等[/color]。当电脑运用了“革离术”后,可以有效的让恶意程序失去了最基本的运行环境和成长条件。因此,再强悍的恶意程序,无论是自身免疫系统的强悍,还是功能上如何的完善,在“革离术”对关键资源的控制和防护下,也是一堆无法运行的废品,黯然失色……[/quote]
这个是官方对革离术的简单说明。我关心的就是墨者的革离术。
有人说,墨者的革离术就是一个user的受限用户。当然这个说法只能是对了一半,系统自带的受限用户那是死板的东西,对于一个程序的权限问题被就是永远的话题。无论是现在流行的所谓的“主动防御”,还是强大的HIPS,其实就是为了把握程序的行为,来限制其动作,说到底就是把握住程序的运行权限。革离术看上去是像windows受限用户,其实呢,它更加强大。
好了,下面就来看墨者吧
[attach]346725[/attach]
[attach]346726[/attach]
对于以前的版本,这里的选项少了几个。
[attach]346727[/attach]
看下它的提示
[attach]346728[/attach]
钩子的提示已经改为在电脑的右下角了。
[attach]346729[/attach]
界面就这么简单,没啥要设置的,看下它的功能吧
[attach]346730[/attach]
这是浏览器下载文件保存到磁盘的根目录时的提示,可以看出,[color=red]墨者对各个磁盘的根目录的保护(这点就可以有效的防止利用autorun自动运行的病毒)[/color]
看下对[color=magenta]钩子的行为拦截情况[/color]
[attach]346731[/attach][attach]346732[/attach][attach]346733[/attach]
可以看出,直接拦截,无提示。
修改注册表的拦截
[attach]346734[/attach]
日志
[attach]346735[/attach]
墨者对一些敏感的注册表项保护的还是很好的
下面看看对付病毒的情况(注意:系统中只有一个墨者,无其它杀软等)
[size=4][color=magenta]机器狗[/color][/size]
[attach]346736[/attach]
[attach]346737[/attach]
提示说的很清楚,无法加载驱动
看看会被机器狗修改的userinist情况
[attach]346738[/attach]
看到“版本”两字就放心了
防御机器狗成功
[size=4][color=magenta]磁碟机[/color][/size]
[attach]346739[/attach]
[attach]346740[/attach]
直接点击确定,出现下面提示 (系统是Administrator,密码为空)
[attach]346741[/attach]
可以看出,即使那个提示要求使用管理员权限去运行,也是无效的,没有通过墨者的自带的权限访问。依然是受限权限的运行。
防御磁碟机成功
[size=4][color=magenta]小浩[/color][/size]
[attach]346742[/attach]
[attach]346743[/attach]
[attach]346744[/attach]
运行后,系统的部分被改,注意还是对应的注册表项被改,墨者不防。不过主体还是成功防御,无进程,无生成的autorun.inf与主体文件等。
下面是日志,很多
[attach]346745[/attach]
小浩防御基本成功。
[size=4][color=magenta]猪3[/color][/size]
[attach]346746[/attach]
[attach]346747[/attach]
直接秒杀猪3
防御底层磁盘操作 猪3 成功
四大毒王可以说防御成功的,没有对系统造成本应该的破坏,出了小浩的那几个文件的注册表项等系统基本的东西被破坏,还是不太影响正常使用的。
除了上面的4个病毒还试了AV终结者、脑残星,结果是可想而之的,没有任何破坏。
重启后的系统大致情况
[attach]346748[/attach][attach]346749[/attach][attach]346750[/attach]
没出现任何异常的文件,效果还是很好的
还有就是即使结束了墨者的相关进程,程序还是按受限模式运行,无法突破管理员的权限范围。
下面就看看墨者的小缺点吧
普通的键盘记录及截屏
[attach]346751[/attach][attach]346752[/attach][attach]346753[/attach][attach]346754[/attach][attach]346755[/attach][attach]346756[/attach]
[attach]346757[/attach]
[attach]346758[/attach]
对于Hook 挂钩方式的键盘记录墨者是防御的,可是一般的键盘记录及截屏墨者无任何反应,这点很纳闷啊。。。。
还有就是上面提到的注册表项保护的问题,加强一些看似不重要,其实也有作用的注册表项的保护
好了就到这里了。[color=blue]总体来看,墨者的革离术是非常不错的防御,其实可以到HIPS区的,用过或了解GKR的Fans知道,GKR就是内置的策略来限制程序的动作范围,使用简单,基本无提示,效果一流,并不是靠杀软监控等。墨者的实现效果与GKR很类似,虽然是权限的设定,其实也是限制程序的相关动作,效果是一样的。当然墨者还是要再加强自身的革离术,利用好自身的优势,把握现在的“主动防御”,前途是非常好的。[/color]
另类的防御术——墨者革离计,我看行。呵呵。
PS:其实是墨者“革离术”[:14:] "革离计"是配合我的标题的,大家不要搞错了啊[:10:]
[[i] 本帖最后由 huai168an 于 2008-8-29 22:07 编辑 [/i]] 第一次坐沙发。好文章,顶一个。[:03:] [:08:] 没看完,先占个板凳~ 很详细!
我顶顶顶! 什么都没了......坐地板上慢慢看[:08:] [:08:] [:08:] 墨者支持一下,嘿嘿[:09:] LZ不错的文章[:08:] 支持一下168.不错慢慢看[:01:] 墨者革离计还是不错的 虽然没用过 [:14:] 支持一下,学习了。有时间去试试。 不错的文章 学习了[:xi53:] 唔知道是否免费的呢?
回复 12楼 甜酸排骨 的帖子
免费的 还免费的使用趋势的TAV防病毒软件[:01:] 这个技术有发展前途,不错不错!改天也玩玩! 不错啊 !!!学习了额 MS和UAC差不多? 很想用第二代..但是还是等正式版.. 好文章,支持![:31:] 看介绍有点像HIPS了 怎么很像DW?防御能力还差一些,不过比DW更人性化。
[[i] 本帖最后由 dl123100 于 2008-9-1 22:05 编辑 [/i]]