标题:
封杀DLL插入式木马的一个思路~
[打印本页]
作者:
killvxk
时间:
2008-9-3 18:45
标题:
封杀DLL插入式木马的一个思路~
传统防火墙在底层拦截到网络操作,检查进程名称,进程路径,文件HASH等,发现是白名单就直接放行。
其实这是严重,严重的错误意识造成的严重的漏洞!
这个玩意让那些不入流的垃圾木马插DLL过防火墙了!!
正确的处理逻辑
应该是检查进程全路径,文件HASH后取当前该进程内的DLL列表,然后检查DLL列表是否是白名单允许时的这个进程状态,如果是,进一步验证每个DLL的HASH,如果正确则放过。
否则弹出提示,该进程内存模块与上次进行网络操作 XXX 时不同,不同模块名称为:XXX
此时可以先验证一下新入模块名称和HASH是否在默认的白名单里,如果在就直接放过,不用弹出提示
如果不在,可以弹出提示,再进一步联网验证,返回推荐的选项,这样节约了用户的脑子...
具体逻辑流程图这里不给出了——^_^
最后说一句:
以后看到这个,并用了这个思路的防火墙们,只要别说是自己原创研发的XX技术就行了。不用提是谁发出来的~~^_^
作者:
点饭的百度空间
时间:
2008-9-3 19:05
好贴顶顶
【vxk】(给微点卡巴防火墙们的建议) 杀DLL插入式木马的一个思路~
重新编辑好了 附图穿微点防火墙的测试程序:
http://bbs.micropoint.com.cn/sho
... mp;page=1#pid270401
[
Last edited by 点饭的百度空间 on 2008-9-4 at 10:28
]
作者:
killvxk
时间:
2008-9-4 02:13
补充一下这个思路:
另外还有很多种XX方案可以用来做检测,实际上还要考虑远线程shellcode模式的。
其实通过浏览器进程的窗体是否可见性可以排除一批,svchost进程的DLL必然是M$的,VC++编译,不可能是Delphi的可以再干掉一批~~
网络操作的进程是否被隐藏了,又一批被干了
我多年的绕过防火墙的经验证明了一件可怕的事情:
国内很多防火墙的设计者思维一点发散能力都没有,千篇一律的XX方式,毫无创意...
我很失望,非常失望。
目前做的不错就ZoneAlarm(我看到第一个要判断浏览器进程的父进程是不是explorer的玩意)和趋势(我遇到的第一个对进程模块列表做检查的变态),其他的都是千篇一律的东西!
作者:
killvxk
时间:
2008-9-4 02:14
我渴望的是一场一心不乱的大战争!
不要让我失望,防火墙们~
作者:
hanker
时间:
2008-9-4 09:30
兄弟所言极是,虽说偶是防火墙版主,但用防火墙还是不是太多
目前我知道的就微点防火墙有这种功能,就是能识别一些常用软件,其他防火墙我还真没留意有没有识别,关于你说这种也就是能识别常用软件的防火墙可能存在这种漏洞(我是说可能),先说微点,微点防火墙秒就秒在它是建立在它强大的主动防御之后的一个辅助功能,如果木马有能力突破微点主动防御软件,那突破防火墙那就更是简单的事了(我没那种能力),其实现在很多木马都有具备穿透防火墙的能力。
关于没有识别功能的防火墙,比如天网,只要有进程访问网络它都报警。所以不存在文件再哪个文件夹下面。
作者:
点饭的百度空间
时间:
2008-9-4 10:15
【vxk】(给微点卡巴防火墙们的建议) 杀DLL插入式木马的一个思路~
重新编辑好了 附图穿微点防火墙的测试程序:
http://bbs.micropoint.com.cn/sho ... mp;page=1#pid270401
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
