Board logo

标题: 【killvxk】(给微点卡巴防火墙们的建议) 封杀DLL插入式木马的一个思路~ [打印本页]
作者: 点饭的百度空间     时间: 2008-9-3 18:49    标题: 【killvxk】(给微点卡巴防火墙们的建议) 封杀DLL插入式木马的一个思路~

小小的测试程序 过微点卡巴防火墙,运行之后你会发现你的temp文件里面多了一个9M大的05版微点,算作礼物 ^_^

下载者穿微点防火墙 附图:





【killvxk的建议】
传统防火墙在底层拦截到网络操作,检查进程名称,进程路径,文件HASH等,发现是白名单就直接放行。
其实这是严重,严重的错误意识造成的严重的漏洞!
这个玩意让那些不入流的垃圾木马插DLL过防火墙了!!

正确的处理逻辑
应该是检查进程全路径,文件HASH后取当前该进程内的DLL列表,然后检查DLL列表是否是白名单允许时的这个进程状态,如果是,进一步验证每个DLL的HASH,如果正确则放过。
否则弹出提示,该进程内存模块与上次进行网络操作 XXX 时不同,不同模块名称为:XXX
此时可以先验证一下新入模块名称和HASH是否在默认的白名单里,如果在就直接放过,不用弹出提示
如果不在,可以弹出提示,再进一步联网验证,返回推荐的选项,这样节约了用户的脑子...
具体逻辑流程图这里不给出了——^_^

补充一下这个思路
另外还有很多种XX方案可以用来做检测,实际上还要考虑远线程shellcode模式的。

其实通过浏览器进程的窗体是否可见性可以排除一批,svchost进程的DLL必然是M$的,VC++编译,不可能是Delphi的可以再干掉一批~~

网络操作的进程是否被隐藏了,又一批被干了

我多年的绕过防火墙的经验证明了一件可怕的事情:

国内很多防火墙的设计者思维一点发散能力都没有,千篇一律的XX方式,毫无创意...

我很失望,非常失望。

目前做的不错就ZoneAlarm(我看到第一个要判断浏览器进程的父进程是不是explorer的玩意)和趋势(我遇到的第一个对进程模块列表做检查的变态),其他的都是千篇一律的东西!

我渴望的是一场一心不乱的大战争!
不要让我失望,防火墙们~

最后说一句
以后看到这个,并用了这个思路的防火墙们,只要别说是自己原创研发的XX技术就行了。不用提是谁发出来的~~^_^


【killvxk】没有战争就没有进步 我们正在研究如何过ghost
http://bbs.micropoint.com.cn/showthread.asp?tid=40368&fpage=2

【killvxk】惊现Bios Downloader (图)  
http://bbs.micropoint.com.cn/sho ... 9%B6%C8%BF%D5%BC%E4

【killvxk】银行提款机已被黑客攻破!
http://hi.baidu.com/micropoint/b ... ddb746faf2c045.html

【killvxk】只要在硬件控制范围内的计算机都会被搞 Doppelganer Project的一些简单介绍
http://bbs.micropoint.com.cn/sho ... 9%B6%C8%BF%D5%BC%E4

【killvxk】用猥琐的Beep之注册表法 突破微点主动防御
http://bbs.micropoint.com.cn/sho ... 9%B6%C8%BF%D5%BC%E4

【killvxk】最简单的过Vista UAC的方法(2位天才的合影)
http://bbs.micropoint.com.cn/sho ... 9%B6%C8%BF%D5%BC%E4
北京 左killvxk

[ Last edited by 点饭的百度空间 on 2008-9-9 at 09:00 ]
作者: killvxk     时间: 2008-9-3 18:52
好快,真的太快了~
作者: liudaxue2008     时间: 2008-9-4 07:38
水平有限
看不懂
作者: goodliubi     时间: 2008-9-4 10:06
高人!
作者: 崖边鹰     时间: 2008-9-4 14:51
这么强?
作者: liudaxue2008     时间: 2008-9-7 16:37
看不懂啊
作者: mamsds     时间: 2009-2-24 12:18
不懂
作者: kingofeagles     时间: 2009-2-25 11:22


  Quote:
正确的处理逻辑
应该是检查进程全路径,文件HASH后取当前该进程内的DLL列表,然后检查DLL列表是否是白名单允许时的这个进程状态,如果是,进一步验证每个DLL的HASH,如果正确则放过。
否则弹出提示,该进程内存模块与上次进行网络操作 XXX 时不同,不同模块名称为:XXX
此时可以先验证一下新入模块名称和HASH是否在默认的白名单里,如果在就直接放过,不用弹出提示
如果不在,可以弹出提示,再进一步联网验证,返回推荐的选项,这样节约了用户的脑子...

如果让一位阿伯去看那些所谓的dll,╮(╯▽╰)╭
很多时候要考虑网络防火墙的过滤效率,而不是一味的追求高性能。

[ Last edited by kingofeagles on 2009-2-25 at 11:24 ]



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn