微点交流论坛

标题: 微点防火墙测试效果不好呢 [打印本页]

作者: yaker 时间: 2010-6-25 10:24 标题: 微点防火墙测试效果不好呢

COMODO Leaktests v.1.1.0.3
Date 10:17:38 - 2010-6-25

OS Windows XP SP3 build 2600

1. RootkitInstallation: MissingDriverLoad Vulnerable
2. RootkitInstallation: LoadAndCallImage Vulnerable
3. RootkitInstallation: DriverSupersede Vulnerable
4. RootkitInstallation: ChangeDrvPath Vulnerable
5. Invasion: Runner Vulnerable
6. Invasion: RawDisk Vulnerable
7. Invasion: PhysicalMemory Vulnerable
8. Invasion: FileDrop Vulnerable
9. Invasion: DebugControl Vulnerable
10. Injection: SetWinEventHook Vulnerable
11. Injection: SetWindowsHookEx Vulnerable
12. Injection: SetThreadContext Vulnerable
13. Injection: Services Vulnerable
14. Injection: ProcessInject Vulnerable
15. Injection: KnownDlls Vulnerable
16. Injection: DupHandles Vulnerable
17. Injection: CreateRemoteThread Vulnerable
18. Injection: APC dll injection Vulnerable
19. Injection: AdvancedProcessTermination Vulnerable
20. InfoSend: ICMP Test Protected
21. InfoSend: DNS Test Vulnerable
22. Impersonation: OLE automation Vulnerable
23. Impersonation: ExplorerAsParent Vulnerable
24. Impersonation: DDE Vulnerable
25. Impersonation: BITS Vulnerable
26. Hijacking: WinlogonNotify Vulnerable
27. Hijacking: Userinit Vulnerable
28. Hijacking: UIHost Vulnerable
29. Hijacking: SupersedeServiceDll Vulnerable
30. Hijacking: StartupPrograms Vulnerable
31. Hijacking: ChangeDebuggerPath Vulnerable
32. Hijacking: AppinitDlls Protected
33. Hijacking: ActiveDesktop Vulnerable
Score 20/330

(C) COMODO 2008

[ Last edited by yaker on 2010-6-25 at 10:58 ]

作者: 李莫愁 时间: 2010-6-25 10:32
国家尚未统一,暂时无心学习外语

额,毛豆还是烤着吃比较好

作者: meihaosuda 时间: 2010-6-25 10:53
楼主解释下，看不懂！

作者: yaker 时间: 2010-6-25 10:56
测试项目动作防御方式以及说明
1. RootkitInstallation: MissingDriverLoad 创建文件 C:\WINDOWS\system32\drivers\ADIHdAud.sys system32创建sys阻止
2. RootkitInstallation: LoadAndCallImage 加载驱动 d:\tool\测试工具\clt\driver.sys 加载驱动程序阻止
3. RootkitInstallation: DriverSupersede 停止驱动程序或服务  Beep
创建文件 C:\WINDOWS\system32\drivers\beep.sys_old
修改文件 C:\WINDOWS\system32\drivers\beep.sys
启动驱动程序或服务  Beep 访问服务管理器阻止

修改system32下sys类型文件阻止
4. RootkitInstallation: ChangeDrvPath 修改驱动程序或服务的设置  Beep 访问服务管理器阻止
5. Invasion: Runner 修改文件 C:\Program Files\Internet Explorer\IEXPLORE.EXE ……
6. Invasion: RawDisk Vulnerable S大已说明此动作无危害
底层磁盘读取，并不会写入。
7. Invasion: PhysicalMemory 修改物理内存修改物理内存阻止
8. Invasion: FileDrop 创建文件 C:\WINDOWS\system32\test.exe

创建文件 C:\WINDOWS\system\test.exe WINDOWS下创建exe阻止
9. Invasion: DebugControl Protected 没有日志，没有询问
访问物理内存
10. Injection: SetWinEventHook 安装全局事件钩子d:\tool\测试工具\clt\plugins\setwineventhook.dll 安装全局钩子阻止
11. Injection: SetWindowsHookEx 安装全局消息钩子d:\tool\测试工具\clt\plugins\setwineventhook.dll 安装全局钩子阻止
12. Injection: SetThreadContext 挂起其他进程的线程 c:\windows\explorer.exe 操纵其他进程及线程阻止
13. Injection: Services 创建注册表项 HKEY_LOCAL_MACHINE\system\currentcontrolset\ services\new_service ……
14. Injection: ProcessInject 修改其他进程的内存 c:\windows\system32\svchost.exe 访问其它进程内存阻止
15. Injection: KnownDlls 创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp*.tmp
修改内核对象 \KnownDlls\advapi32.dll 非可执行临时文件可以放行

修改内核对象阻止
16. Injection: DupHandles Protected 复制文件句柄
没有日志，没有询问
17. Injection: CreateRemoteThread 创建文件 C:\WINDOWS\system32\dll.dll
修改其他进程的内存 c:\windows\system32\svchost.exe system32下创建dll阻止
访问其它进程内存阻止
18. Injection: APC dll injection 创建文件 C:\WINDOWS\system32\dll.dll
修改其他进程的线程 c:\windows\system32\svchost.exe system32下创建dll阻止
访问其它进程内存阻止
19. Injection: AdvancedProcessTermination 调试其他进程 c:\windows\explorer.exe
20. InfoSend: ICMP Test Vulnerable
21. InfoSend: DNS Test 修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache

修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies

修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History

修改文件 \Device\NamedPipe\lsarpc

修改文件 \Device\NamedPipe\ROUTER

修改注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData

修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData

修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\*

修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings

访问网络这个测试只要阻止clt联网，就能成功防御。
22. Impersonation: OLE automation 修改文件 \Device\NamedPipe\wkssvc

修改文件 \Device\NamedPipe\lsarpc

修改注册表值
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Shell Folders\Personal

修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\BaseClass

修改注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents

修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop

修改注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell

访问COM接口
{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} Security Manager

创建新进程 c:\program files\internet explorer\iexplore.exe ……
23. Impersonation: ExplorerAsParent 创建新进程 c:\windows\explorer.exe 阻止非系统程序创建进程
c:\windows\explorer.exe
24. Impersonation: DDE 访问COM接口
{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} Security Manager

创建新进程 c:\program files\internet explorer\iexplore.exe
25. Impersonation: Coat 访问网络

修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\*

创建文件
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\*.gif

创建文件 D:\TOOL\测试工具\CLT\logo.gif
26. Impersonation: BITS 创建文件
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\53L0CQ5Q\logo[1].gif

创、修、删文件
C:\Documents and Settings\Administrator\Local Settings\Temp\*.tmp

修改文件 \Device\NamedPipe\lsarpc

删除文件
C:\Documents and Settings\Administrator\Local Settings\Temp\test.gif
• Background Intelligent Transfer Service（BITS）：这个系统服务能利用HTTP 1.1
在网路閒置时于背景传送资料，
Windows Update会用到这项系统服务。
不建议设为停用。
27. Hijacking: WinlogonNotify 修改注册表值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain\DllName ……
28. Hijacking: Userinit 修改注册表值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit ……
29. Hijacking: UIHost 修改注册表值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost ……
30. Hijacking: SupersedeServiceDll 修改注册表值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters\servicedll ……
31. Hijacking: StartupPrograms 修改注册表值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms ……
32. Hijacking: ChangeDebuggerPath 修改注册表值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger ……
33. Hijacking: AppinitDlls 修改注册表值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows \AppInit_DLLs ……
34. Hijacking: ActiveDesktop 创建文件
C:\Documents and Settings\Administrator\Local Settings\Temp\leaktest.html

修改注册表值
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\*

修改注册表值
HKEY_CURRENT_USER\Control Panel\Desktop\TileWallpaper

修改注册表值
HKEY_CURRENT_USER\Control Panel\Desktop\WallpaperStyle

删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components*

修改文件
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Desktop.htt

创建新进程 c:\program files\internet explorer\iexplore.exe ……

测试完可以发现，CLT防火墙测试并不神秘，甚至可以说很简单，因为每一项MD都有相应的拦截项目。所以CLT防火墙测试并不能完全证明规则的强大，它所测试的不过是冰山一角，面对层出不穷的病毒木马，不具有可比性。

谨以此文献给对CLT防火墙测试不明白的兄弟。虽然每个项目皆测试了三次，换了两个系统，但由于各种环境因素以及本人实力有限，错误在所难免，欢迎指正。

PS：测试使用的是MD，其他hips测试动作可能不同。

附件说明：压缩包其中一个dll红伞报毒，如果删除的话会少一个测试项目，具体是不是病毒就不清楚了。
文件名称 :    Coat.dll
文件大小 :    3584 byte
文件类型 :    PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 :    feea0c871a7c330a6d1ec1331381ab00
SHA1 :    d3a4966efdae4c1d8efd30eaba428fe193f45df5

作者: weiweijiji 时间: 2010-6-25 10:59
楼主太厉害了，方正我是看不懂。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn