微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 【killvxk】(给微点卡巴防火墙们的建议) 封杀DLL插入式木马的一个思路~  

作者:
标题: 【killvxk】(给微点卡巴防火墙们的建议) 封杀DLL插入式木马的一个思路~
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  【killvxk】(给微点卡巴防火墙们的建议) 封杀DLL插入式木马的一个思路~

小小的测试程序 过微点卡巴防火墙,运行之后你会发现你的temp文件里面多了一个9M大的05版微点,算作礼物 ^_^

下载者穿微点防火墙 附图:





【killvxk的建议】
传统防火墙在底层拦截到网络操作,检查进程名称,进程路径,文件HASH等,发现是白名单就直接放行。
其实这是严重,严重的错误意识造成的严重的漏洞!
这个玩意让那些不入流的垃圾木马插DLL过防火墙了!!

正确的处理逻辑
应该是检查进程全路径,文件HASH后取当前该进程内的DLL列表,然后检查DLL列表是否是白名单允许时的这个进程状态,如果是,进一步验证每个DLL的HASH,如果正确则放过。
否则弹出提示,该进程内存模块与上次进行网络操作 XXX 时不同,不同模块名称为:XXX
此时可以先验证一下新入模块名称和HASH是否在默认的白名单里,如果在就直接放过,不用弹出提示
如果不在,可以弹出提示,再进一步联网验证,返回推荐的选项,这样节约了用户的脑子...
具体逻辑流程图这里不给出了——^_^

补充一下这个思路
另外还有很多种XX方案可以用来做检测,实际上还要考虑远线程shellcode模式的。

其实通过浏览器进程的窗体是否可见性可以排除一批,svchost进程的DLL必然是M$的,VC++编译,不可能是Delphi的可以再干掉一批~~

网络操作的进程是否被隐藏了,又一批被干了

我多年的绕过防火墙的经验证明了一件可怕的事情:

国内很多防火墙的设计者思维一点发散能力都没有,千篇一律的XX方式,毫无创意...

我很失望,非常失望。

目前做的不错就ZoneAlarm(我看到第一个要判断浏览器进程的父进程是不是explorer的玩意)和趋势(我遇到的第一个对进程模块列表做检查的变态),其他的都是千篇一律的东西!

我渴望的是一场一心不乱的大战争!
不要让我失望,防火墙们~

最后说一句
以后看到这个,并用了这个思路的防火墙们,只要别说是自己原创研发的XX技术就行了。不用提是谁发出来的~~^_^


【killvxk】没有战争就没有进步 我们正在研究如何过ghost
http://bbs.micropoint.com.cn/showthread.asp?tid=40368&fpage=2

【killvxk】惊现Bios Downloader (图)  
http://bbs.micropoint.com.cn/sho ... 9%B6%C8%BF%D5%BC%E4

【killvxk】银行提款机已被黑客攻破!
http://hi.baidu.com/micropoint/b ... ddb746faf2c045.html

【killvxk】只要在硬件控制范围内的计算机都会被搞 Doppelganer Project的一些简单介绍
http://bbs.micropoint.com.cn/sho ... 9%B6%C8%BF%D5%BC%E4

【killvxk】用猥琐的Beep之注册表法 突破微点主动防御
http://bbs.micropoint.com.cn/sho ... 9%B6%C8%BF%D5%BC%E4

【killvxk】最简单的过Vista UAC的方法(2位天才的合影)
http://bbs.micropoint.com.cn/sho ... 9%B6%C8%BF%D5%BC%E4
北京 左killvxk

[ Last edited by 点饭的百度空间 on 2008-9-9 at 09:00 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-9-3 18:49
查看资料  发送邮件  访问主页  发短消息   编辑帖子
killvxk
新手上路





积分 20
发帖 20
注册 2008-9-3
#2  

好快,真的太快了~

※ ※ ※ 本文纯属【killvxk】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-9-3 18:52
查看资料  发送邮件  发短消息   编辑帖子
liudaxue2008
中级用户




积分 402
发帖 402
注册 2007-11-6
来自 苏州
#3  

水平有限
看不懂

※ ※ ※ 本文纯属【liudaxue2008】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[img]http://bbs.micropoint.com.cn/images/logo.gif[/img]
2008-9-4 07:38
查看资料  发送邮件  发短消息  QQ   编辑帖子
goodliubi
高级用户




积分 554
发帖 555
注册 2008-8-27
#4  

高人!

※ ※ ※ 本文纯属【goodliubi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-9-4 10:06
查看资料  发短消息   编辑帖子
崖边鹰
中级用户





积分 215
发帖 218
注册 2007-5-3
来自 福州
#5  

这么强?

※ ※ ※ 本文纯属【崖边鹰】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-9-4 14:51
查看资料  发送邮件  发短消息  QQ   编辑帖子
liudaxue2008
中级用户




积分 402
发帖 402
注册 2007-11-6
来自 苏州
#6  

看不懂啊

※ ※ ※ 本文纯属【liudaxue2008】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[img]http://bbs.micropoint.com.cn/images/logo.gif[/img]
2008-9-7 16:37
查看资料  发送邮件  发短消息  QQ   编辑帖子
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#7  

不懂

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2009-2-24 12:18
查看资料  发送邮件  发短消息  QQ   编辑帖子
kingofeagles
注册用户




积分 50
发帖 50
注册 2009-2-24
#8  



  Quote:
正确的处理逻辑
应该是检查进程全路径,文件HASH后取当前该进程内的DLL列表,然后检查DLL列表是否是白名单允许时的这个进程状态,如果是,进一步验证每个DLL的HASH,如果正确则放过。
否则弹出提示,该进程内存模块与上次进行网络操作 XXX 时不同,不同模块名称为:XXX
此时可以先验证一下新入模块名称和HASH是否在默认的白名单里,如果在就直接放过,不用弹出提示
如果不在,可以弹出提示,再进一步联网验证,返回推荐的选项,这样节约了用户的脑子...

如果让一位阿伯去看那些所谓的dll,╮(╯▽╰)╭
很多时候要考虑网络防火墙的过滤效率,而不是一味的追求高性能。

[ Last edited by kingofeagles on 2009-2-25 at 11:24 ]

※ ※ ※ 本文纯属【kingofeagles】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-2-25 11:22
查看资料  发送邮件  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号