‹‹ 上一主題 | 下一主題 ››
發新話題
打印

[測試] 突破SSM注册表監控!!

冢上野狐

祅魅狐貍精

中級會員

Rank: 3Rank: 3

祅眼狐媚

帖子
125 
精華
0 
威望
243  
黃金
804  
註冊時間
2007-2-8 
1# 發表於 2007-2-27 17:29  只看該作者

突破SSM注册表監控!!

目前许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能,对防范病毒木马等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击,比如使用操作HIVE的高级方法,达到绕过注册表监控修改注册表的效果。

测试了卡巴6、瑞星、GSS等含有注册表监控功能的安全软件,我写的这个演示程序使用的特殊技术均可以突破他们修改注册表。

本程序仅作科普以及安全警示之用,勿将程序中的方法用于非法用途。

注册表监控弱点演示程序 下载地址: http://www.xyzreg.net/BypassRegMon.rar


作者:邪恶八进制核心成员xyzreg


========



由于我電腦上使用的是EQ,并未使用SSM,所以用EQ測試了下。結果4种方法都可以攔截

其中有兩種方法要求在C盤子創建文件,被阻攔。關閉文件保護后,依然能成功阻止對注册表的修改。

由于EQ目前版本日志記錄有些問題,顯示的有些驢頭不對馬嘴。







這個使用特殊方法b作的測試(關閉文件保護),也能攔截,只是日志記錄有些不對…
如果我們信奉的神  還有我們追逐的希望  都已經只是科學的量化  那麽我們的愛  是否也將科學化呢

TOP

rien

萊因哈特•楊

中級會員

Rank: 3Rank: 3

時間永遠不夠的楊~>"< ... ..

帖子
51 
精華
0 
威望
127  
黃金
43  
來自
海尼森 
註冊時間
2006-12-24 
2# 發表於 2007-2-28 10:04  只看該作者
這是SSM的官方回覆:

SSM successfully intercepts all BypassRegMon actions exept the one.
This tool performs registry modification via restore registry operation.
I.e.
SSM has registry rule for
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run" registry key. In case you will try to modify this key or its subkeys, you will get app activity dialog from SSM and can deny the action.
But BypassRegMon tool performs restore registry operation for
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies" registry key. So, SSM does not intercept the action in such cases.
To force SSM to intercept such actions you have to create registry object in SSM for
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies" registry key
or for any key above it. For example for
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion"

Future SSM builds will include the fix for this problem. SSM will permit restore registry operations if the rule for the target key is already exists or ask the user for decision by default.

Thank you for your help.

_________________
System Safety Support Team

Fear is the path to the Dark Side. Fear leads to anger, anger leads to hate, hate leads to suffering. I sense much fear in you.

TOP

a750828

Gordon

金牌會員

Rank: 6Rank: 6

AMD PowerUser

帖子
4096 
精華
2 
威望
7809  
黃金
4532  
來自
中華民國 R.O.C 
註冊時間
2007-1-20 
3# 發表於 2007-4-9 20:17  只看該作者
看來mcafee應該也能被繞過...
McAfee上報信箱:Virus_Research@avertlabs.com
加壓ZIP密碼:infected
打破Intel一家獨大局面,支持AMD提供用戶更好的效能表現
AMD Phenom X4 獨"一"無"二" 強"四"登場

TOP

‹‹ 上一主題 | 下一主題 ››
發新話題