» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点软件使用交流 » 微点防火墙测试效果不好呢   作者: 标题: 微点防火墙测试效果不好呢 yaker 注册用户 积分 94 发帖 94 注册 2009-10-20 #1  微点防火墙测试效果不好呢 COMODO Leaktests v.1.1.0.3 Date        10:17:38 - 2010-6-25 OS        Windows XP SP3 build 2600 1. RootkitInstallation: MissingDriverLoad        Vulnerable 2. RootkitInstallation: LoadAndCallImage        Vulnerable 3. RootkitInstallation: DriverSupersede        Vulnerable 4. RootkitInstallation: ChangeDrvPath        Vulnerable 5. Invasion: Runner        Vulnerable 6. Invasion: RawDisk        Vulnerable 7. Invasion: PhysicalMemory        Vulnerable 8. Invasion: FileDrop        Vulnerable 9. Invasion: DebugControl        Vulnerable 10. Injection: SetWinEventHook        Vulnerable 11. Injection: SetWindowsHookEx        Vulnerable 12. Injection: SetThreadContext        Vulnerable 13. Injection: Services        Vulnerable 14. Injection: ProcessInject        Vulnerable 15. Injection: KnownDlls        Vulnerable 16. Injection: DupHandles        Vulnerable 17. Injection: CreateRemoteThread        Vulnerable 18. Injection: APC dll injection        Vulnerable 19. Injection: AdvancedProcessTermination        Vulnerable 20. InfoSend: ICMP Test        Protected 21. InfoSend: DNS Test        Vulnerable 22. Impersonation: OLE automation        Vulnerable 23. Impersonation: ExplorerAsParent        Vulnerable 24. Impersonation: DDE        Vulnerable 25. Impersonation: BITS        Vulnerable 26. Hijacking: WinlogonNotify        Vulnerable 27. Hijacking: Userinit        Vulnerable 28. Hijacking: UIHost        Vulnerable 29. Hijacking: SupersedeServiceDll        Vulnerable 30. Hijacking: StartupPrograms        Vulnerable 31. Hijacking: ChangeDebuggerPath        Vulnerable 32. Hijacking: AppinitDlls        Protected 33. Hijacking: ActiveDesktop        Vulnerable Score        20/330 (C) COMODO 2008 [ Last edited by yaker on 2010-6-25 at 10:58 ] ※ ※ ※ 本文纯属【yaker】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-6-25 10:24 李莫愁 高级用户 积分 646 发帖 644 注册 2009-3-23 #2   国家尚未统一,暂时无心学习外语 额,毛豆还是烤着吃比较好 ※ ※ ※ 本文纯属【李莫愁】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 别问我的马甲是谁，别问谁是我的马甲。在这里都是最熟悉的陌生人。。。。。。 2010-6-25 10:32 meihaosuda 银牌会员 微点第三战区特派员 积分 1415 发帖 1399 注册 2010-3-12 #3   楼主解释下，看不懂！ ※ ※ ※ 本文纯属【meihaosuda】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-6-25 10:53 yaker 注册用户 积分 94 发帖 94 注册 2009-10-20 #4   测试项目        动作        防御方式以及说明 1. RootkitInstallation: MissingDriverLoad        创建文件    C:\WINDOWS\system32\drivers\ADIHdAud.sys        system32创建sys阻止 2. RootkitInstallation: LoadAndCallImage        加载驱动    d:\tool\测试工具\clt\driver.sys        加载驱动程序阻止 3. RootkitInstallation: DriverSupersede        停止驱动程序或服务  Beep 创建文件    C:\WINDOWS\system32\drivers\beep.sys_old 修改文件    C:\WINDOWS\system32\drivers\beep.sys 启动驱动程序或服务  Beep        访问服务管理器阻止 修改system32下sys类型文件阻止 4. RootkitInstallation: ChangeDrvPath        修改驱动程序或服务的设置  Beep        访问服务管理器阻止 5. Invasion: Runner        修改文件 C:\Program Files\Internet Explorer\IEXPLORE.EXE        …… 6. Invasion: RawDisk        Vulnerable        S大已说明此动作无危害 底层磁盘读取，并不会写入。 7. Invasion: PhysicalMemory        修改物理内存        修改物理内存阻止 8. Invasion: FileDrop        创建文件 C:\WINDOWS\system32\test.exe 创建文件 C:\WINDOWS\system\test.exe        WINDOWS下创建exe阻止 9. Invasion: DebugControl        Protected        没有日志，没有询问 访问物理内存 10. Injection: SetWinEventHook        安装全局事件钩子d:\tool\测试工具\clt\plugins\setwineventhook.dll        安装全局钩子阻止 11. Injection: SetWindowsHookEx        安装全局消息钩子d:\tool\测试工具\clt\plugins\setwineventhook.dll        安装全局钩子阻止 12. Injection: SetThreadContext        挂起其他进程的线程 c:\windows\explorer.exe        操纵其他进程及线程阻止 13. Injection: Services        创建注册表项 HKEY_LOCAL_MACHINE\system\currentcontrolset\ services\new_service        …… 14. Injection: ProcessInject        修改其他进程的内存 c:\windows\system32\svchost.exe        访问其它进程内存阻止 15. Injection: KnownDlls        创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp*.tmp 修改内核对象 \KnownDlls\advapi32.dll        非可执行临时文件可以放行 修改内核对象阻止 16. Injection: DupHandles        Protected        复制文件句柄 没有日志，没有询问 17. Injection: CreateRemoteThread        创建文件 C:\WINDOWS\system32\dll.dll 修改其他进程的内存 c:\windows\system32\svchost.exe        system32下创建dll阻止 访问其它进程内存阻止 18. Injection: APC dll injection        创建文件 C:\WINDOWS\system32\dll.dll 修改其他进程的线程 c:\windows\system32\svchost.exe        system32下创建dll阻止 访问其它进程内存阻止 19. Injection: AdvancedProcessTermination        调试其他进程 c:\windows\explorer.exe        20. InfoSend: ICMP Test        Vulnerable        21. InfoSend: DNS Test        修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache 修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies 修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History 修改文件 \Device\NamedPipe\lsarpc 修改文件 \Device\NamedPipe\ROUTER 修改注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData 修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData 修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\* 修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings 访问网络        这个测试只要阻止clt联网，就能成功防御。 22. Impersonation: OLE automation        修改文件 \Device\NamedPipe\wkssvc 修改文件 \Device\NamedPipe\lsarpc 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Shell Folders\Personal 修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\BaseClass 修改注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents 修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop 修改注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell 访问COM接口 {7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} Security Manager 创建新进程 c:\program files\internet explorer\iexplore.exe        …… 23. Impersonation: ExplorerAsParent        创建新进程 c:\windows\explorer.exe        阻止非系统程序创建进程 c:\windows\explorer.exe 24. Impersonation: DDE        访问COM接口 {7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} Security Manager 创建新进程 c:\program files\internet explorer\iexplore.exe        25. Impersonation: Coat        访问网络 修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\* 创建文件 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\*.gif 创建文件 D:\TOOL\测试工具\CLT\logo.gif        26. Impersonation: BITS        创建文件 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\53L0CQ5Q\logo[1].gif 创、修、删文件 C:\Documents and Settings\Administrator\Local Settings\Temp\*.tmp 修改文件 \Device\NamedPipe\lsarpc 删除文件 C:\Documents and Settings\Administrator\Local Settings\Temp\test.gif        • Background Intelligent Transfer Service（BITS）：这个系统服务能利用HTTP 1.1 在网路閒置时于背景传送资料， Windows Update会用到这项系统服务。 不建议设为停用。 27. Hijacking: WinlogonNotify        修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain\DllName        …… 28. Hijacking: Userinit        修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit        …… 29. Hijacking: UIHost        修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost        …… 30. Hijacking: SupersedeServiceDll        修改注册表值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters\servicedll        …… 31. Hijacking: StartupPrograms        修改注册表值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms        …… 32. Hijacking: ChangeDebuggerPath        修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger        …… 33. Hijacking: AppinitDlls        修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows \AppInit_DLLs        …… 34. Hijacking: ActiveDesktop        创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\leaktest.html 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\* 修改注册表值 HKEY_CURRENT_USER\Control Panel\Desktop\TileWallpaper 修改注册表值 HKEY_CURRENT_USER\Control Panel\Desktop\WallpaperStyle 删除注册表项 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components* 修改文件 C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Desktop.htt 创建新进程 c:\program files\internet explorer\iexplore.exe        …… 测试完可以发现，CLT防火墙测试并不神秘，甚至可以说很简单，因为每一项MD都有相应的拦截项目。所以CLT防火墙测试并不能完全证明规则的强大，它所测试的不过是冰山一角，面对层出不穷的病毒木马，不具有可比性。 谨以此文献给对CLT防火墙测试不明白的兄弟。虽然每个项目皆测试了三次，换了两个系统，但由于各种环境因素以及本人实力有限，错误在所难免，欢迎指正。 PS：测试使用的是MD，其他hips测试动作可能不同。 附件说明：压缩包其中一个dll红伞报毒，如果删除的话会少一个测试项目，具体是不是病毒就不清楚了。 文件名称 :          Coat.dll 文件大小 :          3584 byte 文件类型 :          PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi MD5 :          feea0c871a7c330a6d1ec1331381ab00 SHA1 :          d3a4966efdae4c1d8efd30eaba428fe193f45df5 ※ ※ ※ 本文纯属【yaker】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-6-25 10:56 weiweijiji 高级用户 积分 847 发帖 847 注册 2010-3-18 #5   楼主太厉害了，方正我是看不懂。 ※ ※ ※ 本文纯属【weiweijiji】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-6-25 10:59 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号