下沙论坛

 找回密码
 注册论坛(EC通行证)

用新浪微博连接

一步搞定

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 6335|回复: 2
打印 上一主题 下一主题

[迎新][绅博原创]所有注册表监控都很弱

[复制链接]

该用户从未签到

跳转到指定楼层
1
发表于 2007-12-28 14:44:50 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
来自绅博版主xyzreg ,好像是邪恶八进制出来的。
, u# u' ~+ C8 h/ }  r# J: ]. O
5 m% L, t: C) c: P: z/ e以前在绅博还有个文章,有兴趣的可以去看看。
6 _: A+ o) p. T5 p[原创]所有的防火墙都很弱
2 }8 p5 y' X2 b% Z) [- f9 y' e& a  q1 h
本文原帖:9 r( V/ c& J& g& W/ z2 ~
http://bbs.hypost.cn/read.php?tid-126071.html. j. S6 o; e; J  I8 [: W) ^

$ U( E  P+ W0 a& M( V! Y1 x
前言:大家好,前段时间较忙,很久没来了。这次接着上次的《所有防火墙都很弱》科普~ 其实标题中的“所有”有些绝对了,但是出于与上次《所有防火墙都很弱》的文章形成系列,而且事实上目前的所有注册表监控程序都可以使用相关的方法突破之,所以标题就这样取了。本来此文想发在HIPS区的,但是承蒙大家厚爱,受笑待人生兄邀请当此版版主,所以就贴在自己版了。其实此文目的还是让大家增强安全意识,选择更好的安全软件~
  F# q& j) @' O
& N9 z/ ~0 l9 E6 ?, L  / a" ?" S( t  c. h
  目前许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能,对防范病毒木马等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击,比如使用操作HIVE的高级方法,达到绕过注册表监控修改注册表的效果。
) U' Z1 ~5 c8 \/ R5 I) {% r, j" |7 h3 z/ a
  测试了卡巴6、瑞星2007、GSS、江民2007等含有注册表监控功能的安全软件,我写的这个演示程序使用的特殊技术均可以突破他们修改注册表。
* }% y6 w6 `" z, @6 q; v' f* t5 j
  本程序仅作科普以及安全警示之用,勿将程序中的方法用于非法用途。
; w' l% W0 b$ `. H
" \( k1 s: ~# y1 }* Y) s' T7 w
2月27日更新:) v9 A  L3 R. v: g" l

  |& W- w/ Y' N, O  程序已升级,可以突破以前版本不能突破的 SSM最新版、ZoneAlarm Pro 7、EQSecure、ProSecurity、卡巴6.0.2.675最新版等。 就目前来看,此次增加的特殊方法修改注册表B可以突破除了犀牛之外所有的实时拦截类注册表监控程序。
8 b, x5 |; r2 ?- d6 u  W
7 x5 e, n; J5 ]3 |! M2 b
  当然,仍有方法突破犀牛改注册表的,比如使用非常规进Ring0法进Ring0然后恢复他的SSDT hook。至于360安全卫士之类的注册表修改通知式的非实时注册表监控也有办法绕过。有两大方法,清除Notify回调函数和rootkit技术隐藏注册表。
; L" K5 V( `- O# ^7 ^6 x. ?0 {& w
: Z: K/ \1 W/ C/ [
# a* U7 ~8 U; R& e
5 R7 I0 @9 g$ R. r8 v1 r6 v; f: S( i, c
注册表监控弱点演示程序 下载地址:
http://www.xyzreg.net/BypassRegMon.rar
8 i& q* H0 `" p& `' _* T
* m8 a& ~, h" H( B
9 @, R3 X( C: l. F1 r  z
[ 本帖最后由 竹木刀 于 2007-12-28 14:46 编辑 ]
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩 转发到微博

该用户从未签到

2
 楼主| 发表于 2007-12-28 14:45:13 | 只看该作者
测试了一下风云墙,特殊B被过,真牛X。
回复 支持 反对

使用道具 举报

该用户从未签到

3
 楼主| 发表于 2007-12-28 14:50:00 | 只看该作者
GSS和EQ我装了,不过没加载驱动,懒得试了,不过从原帖的回复看是都突破了的,SSM和ZA也过了,不过居然没有过犀牛,果然强悍,可惜没有破解,要不然就去搞一个了,其他的主动防御产品我都有,要的跟帖。
回复 支持 反对

使用道具 举报

本版积分规则

关闭

下沙大学生网推荐上一条 /1 下一条

快速回复 返回顶部 返回列表