前言:大家好,前段时间较忙,很久没来了。这次接着上次的《所有防火墙都很弱》科普~ 其实标题中的“所有”有些绝对了,但是出于与上次《所有防火墙都很弱》的文章形成系列,而且事实上目前的所有注册表监控程序都可以使用相关的方法突破之,所以标题就这样取了。本来此文想发在HIPS区的,但是承蒙大家厚爱,受笑待人生兄邀请当此版版主,所以就贴在自己版了。其实此文目的还是让大家增强安全意识,选择更好的安全软件~
. X5 F4 X/ F; z. o& P
& S8 P- V3 G, r7 C
目前许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能,对防范病毒木马等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击,比如使用操作HIVE的高级方法,达到绕过注册表监控修改注册表的效果。 & N3 `" m5 w2 w, G) s
测试了卡巴6、瑞星2007、GSS、江民2007等含有注册表监控功能的安全软件,我写的这个演示程序使用的特殊技术均可以突破他们修改注册表。
本程序仅作科普以及安全警示之用,勿将程序中的方法用于非法用途。! x8 v4 }! h* y
2月27日更新:
程序已升级,可以突破以前版本不能突破的 SSM最新版、ZoneAlarm Pro 7、EQSecure、ProSecurity、卡巴6.0.2.675最新版等。 就目前来看,此次增加的特殊方法修改注册表B可以突破除了犀牛之外所有的实时拦截类注册表监控程序。 % M1 v; \! {9 R. Y& l3 X& P. l8 M
8 X& M6 Y& u: }; r L' L
当然,仍有方法突破犀牛改注册表的,比如使用非常规进Ring0法进Ring0然后恢复他的SSDT hook。至于360安全卫士之类的注册表修改通知式的非实时注册表监控也有办法绕过。有两大方法,清除Notify回调函数和rootkit技术隐藏注册表。 * v3 w9 f4 Y7 @3 {
6 L' J8 C; ?5 W/ Z, c7 F* M
" f5 a/ P# i2 `
注册表监控弱点演示程序 下载地址: http://www.xyzreg.net/BypassRegMon.rar