首页
社区
课程
招聘
[求助]防止程序被注入
发表于: 2008-9-6 11:57 14568

[求助]防止程序被注入

2008-9-6 11:57
14568
我在自己的机器上安装了瑞星,发现瑞星把每个进程都注入了,包括冰刃,于是,我想问一下,怎么防止自己的程序不被注入。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (10)
雪    币: 1852
活跃值: (504)
能力值: (RANK:1010 )
在线值:
发帖
回帖
粉丝
2
要知道怎么防止注入,首先得知道如何注入
ring 3的hook,远程线程比较多
ring 0的太多了,随便挂个系统调用就可以实现注入
2008-9-14 23:07
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
可是楼上的还是没有回答怎样防止被人家的程序注入dll啊,我也想知道怎么防止别人注入,用什么方法呢?
2008-10-17 00:23
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
2楼全对,  2222
2008-10-17 12:21
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
其实我们可以去网上找啊
不要老是靠人
自己也努力下
对吧
2008-12-12 20:59
0
雪    币: 645
活跃值: (247)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
你不说出来 别人也不说.网上不是什么多没有
2008-12-25 09:27
0
雪    币: 1852
活跃值: (504)
能力值: (RANK:1010 )
在线值:
发帖
回帖
粉丝
7
ring3 层的比如可以挂LoadLibraryEx可以监控到模块注入,或者也可以通过我书中19章所提到的DLL_THREAD_ATTACH来监控线程的创建
ring0层那就太多了,NtCreateThread等接口可以挂,也可以挂对象管理器,例如监控线程对象
2008-12-31 01:16
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
是啊, 看到不少论坛都有这样的, 老说网上找啊找啊, 结果就没人说答题, 网上也找不到。
2009-5-19 03:09
0
雪    币: 357
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
不是吧,像“防止程序被注入”这样明显的网上确实有很多例子和原理。
当然如果想直接得代码的话恐怕比较少。
2009-5-20 13:08
0
雪    币: 183
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
挂钩还没学到,但是我觉得写个保护线程应该能够办到吧
2009-5-24 01:14
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
需要提权吧

转篇帖子你看看参考一下

 Windows与Linux本地用户提权体验
【IT专家网独家】无论是Windows系统还是Linux系统都是基于权限控制的,其严格的用户等级和权限是系统安全的有力保证。这么严密的用户权限是否不可逾越呢?下面笔者反其道而行之进行Windows及Linux下的提权测试。

  一、windows下获取至高权限

  大家知道,在Windows系统中SYSTEM是至高无上的超级管理员帐户。默认情况下,我们无法直接在登录对话框上以SYSTEM帐户的身份登录到Windows桌面环境。实际上SYSTEM帐户早就已经“盘踞”在系统中了。想想也是,连负责用户验证的Winlogon、Lsass等进程都是以SYSTEM身份运行的,谁还能有资格检验SYSTEM呢?既然SYSTEM帐户早就已经出现在系统中,所以只需以SYSTEM帐户的身份启动 Windows的Shell程序Explorer,就相当于用SYSTEM身份登录Windows了。

  1、获得特权

  打开命令提示符,输入命令“taskkill /f /im explorer.exe” 并回车,这个命令是结束当前账户explorer即图形用户界面的Shell。然后在命令提示符下继续输入“at time /interactive %systemroot%\explorer.exe”并回车。其中“time”为当前系统时间稍后的一个时间,比如间隔一秒,当前系统时间可以在命令提示符下输入“time”命令获得。一秒钟后会重新加载用户配置,以SYSTEM身份启动Windows的shell进程Explorer.exe。(图 1)

 
  
2、身份验证
  如何知道exeplorer.exe是以system权限运行呢?我通过“开始”菜单可以看到最上面显示的是system账户。另外,打开注册表编辑器,只要证明HKCU就是HKU\S-1-5-18的链接就可以了(S-1-5-18就是SYSTEM帐户的SID)。证明方法很简单:在HKCU 下随便新建一个Test子项,然后刷新,再看看HKU\S-1-5-18下是否同步出现了Test子项,如果是,就说明系统当前加载的就是SYSTEM帐户的用户配置单元。当然最简单的是在命令提示符号下输入命令“whoami”进行验证,如图所示显示为“NT AUTHORITY\SYSTEM”这就证明当前exeplorer.exe是System权限。(图2)

3、大行其道

  System权限的Explorer.exe在实际中有什么用呢?下面笔者随意列举几个使用实例。

  (1).注册表访问

  我们知道在非SYSTEM权限下,用户是没有权限访问某些注册表项的,比如“HKEY_LOCAL_MACHINE\SAM”、 “HKEY_LOCAL_MACHINE\SECURITY”等。这些项记录的是系统的核心数据,某些病毒或者木马会光顾这里。比如在SAM项目下建立具有管理员权限的隐藏账户,这样的帐户在命令及“本地用户和组”管理器(lusrmgr.msc)中是无法看到的,造成了很大的安全隐患。在 “SYSTEM”权限下,注册表的访问就没有任何障碍,我们打开注册表定位到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains \Account”项下所有的隐藏帐户就都暴露了。(图3)

  

  (2).访问系统还原文件

  系统还原是windows系统的一种自我保护措施,它在每个磁盘根目录下建立“System Colume Information”文件夹,保存一些系统信息以备系统恢复是使用。该文件具有系统、隐藏属性管理员用户是没有操作权限的。正因为如此,它成了病毒、木马的栖身之地,我们就可以在System权限下进入该文件夹删除病毒。当然,你也可以关闭“系统还原”预防此类病毒,但这样未免显得被动,有些因噎废食。(图4)

  

  (3).更换系统文件

  Windows系统为系统文件做了保护机制,一般情况下你是不可能更换系统文件的,因为系统中都有系统文件的备份,它存在于 c:\WINDOWS\system32\dllcache(假设你的系统装在C盘)。当你更换了系统文件后,系统自动就会从这个目录中恢复相应的系统文件。当目录中没有相应的系统文件的时候会弹出提示让你插入安装盘。

  在实际应用中如果有时你需要Diy自己的系统修改一些系统文件,或者用高版本的系统文件更换低版本的系统文件,让系统功能提升。比如 Window XP系统只支持一个用户远程登录,如果你要让它支持多用户的远程登录。要用Windows 2003的远程登录文件替换Window XP的相应文件。这在非SYSTEM权限下很难实现,但是在SYSTEM权限下就可以很容易实现。

  从Windows 2003的系统中提取termsrv.dll文件,用该文件替换Windows XP的C:\WINDOWS\system32下的同名文件。(对于Windows XP SP2还必须替换C:\WINDOWS\$NtServicePackUninstall$和C:\WINDOWS\ServicePackFiles \i386目录下的同名文件)。再进行相应的系统设置即可让Windows XP支持多用户远程登录。

  (4).手工杀毒

  用户在使用电脑的过程中一般都是用Administrator或者其它的管理员用户登录的,中毒或者中马后,病毒、木马大都是以管理员权限运行的。我们在系统中毒后一般都是用杀毒软件来杀毒,如果杀软瘫痪了,或者杀毒软件只能查出来,但无法清除,这时候就只能赤膊上阵,手工杀毒了。

  在Adinistrator权限下,如果手工查杀对于有些病毒无能为力,一般要启动到安全模式下,有时就算到了安全模式下也无法清除干净。如果以SYSTEM权限登录,查杀病毒就容易得多。
  以一次手工杀毒为例,(为了截图在虚拟机上模拟了前段时间的一次手工杀毒。)打“Windows 任务管理器”,发现有个可疑进程“86a01.exe”,在Administrator管理员下无法结束进程见图5,当然更无法删除在系统目录下的病毒原文件“86a01.exe”。以System权限登录系统,进程被顺利结束见图6,然后删除病毒原文件,清除注册表中的相关选项,病毒被彻底清理出系统。(图5)(图6)

  
  System权限是比Administrator权限还高的系统最高权限,利用它可以完成很多常规情况下无法完成的任务。当然,最大的权限也就意味着更大的危险,不要因为手握“尚方宝剑”就滥杀无辜。

二、Linux下授权测试

  类似于Windows系统Linux系统中用户是具有权限属性的,甚至它的权限设置更为严格。我们知道在Linux系统中root是管理员用户拥有最高的权限,除此之外的其他用户是普通用户其权限都是受限的。如何让普通用户也具有root权限当管理员使用呢?下面笔者搭建环境,以重启网络操作为例进行Root授权演示。

  环境说明:
  OS:Fedora Core 6 (域名:ns.linux.com.cn)
  Tools:PuTTY(SSH/Telnet远程登录)
  1、登录系统
  运行PuTTY,首先以Root用户远程登录系统,输入用户名、密码成功登入系统。然后以普通用户hacker远程登录输入用户名、密码进入系统。
  2、权限测试

  在Root用户登录窗口中我们输入命令“/etc/init.d/network restart”重启网络服务,如图7所示启动成功。然后在hacker用户登录窗口输入同样的命令重启网络,显示失败,可以普通用户hacker是没有执行该命令的权限的。(图7)

  

  3、Root授权

  要使得普通用户hacker也具有重启网络的权限,我们需要修改/etc/sudoers文件。输入命令“ls -l /etc/sudoers”查看root用户默认对该文件只有“读”权限,是没有办法修改的。对此,我们可以修改其权限让Root用户可以修改,也可以用 vi打开该文件修改然后强行保存退出,当然最方便的是用“visudo”命令进行编辑。

  定位到“# User privilege specification”下,按照格式“username host username command”进行输入。其中第一个字段是用户名(被授权用户),第二个自动是主机位(用域名、IP地址都可以),第三个字段是用户名(授权用户),第四个字段是命令(授权用户可以执行的命令,可以用别名)。结合实例我们添加如下字段:hacker All = (root) /etc/init.d/network 即授权hacker用户以Root权限运行/etc/init.d/network,最后保存退出。(图8)

  

  4、权限测试

  在hacker用户窗口中输入命令:sudo /etc/init.d/network restart,看hacker是否可以重启网络,如图9所示命令成功执行网络被重启,说明授权成功。这里必须要说明的是必须以“sudo”来运行命令,因为sudo命令会调用“/etc/sudoers”脚本,刚才的授权才会生效。另外,在命令执行前要输入密码,这个密码是当前用户即hacker的密码。(图9)

  

5、延伸

  我们通过修改/etc/sudoers文件可以灵活地进行用户赋权,赋予不同的用户执行特殊命令的权限。/etc/sudoers文件中添加的信息,其中用户、命令都可以用别名,被授权用户可以是多个,命令可以是多条。我们通过修改该文件进行用户授权是一定要慎重,防止授权过大造成系统安全隐患。比如我们在该文件中添加这样的字段angel ALL = (ALL) ALL,这样的话angel用户就具有了系统的所有权限,就相当于另一个Root用户。下面我们操作测试一下。(图10)

  

  新建test用户并设置密码,然后从在hacker登录窗口中通过命令su -angel 切换到angel用户,看看权限过大会产生什么后果。大家知道/etc/passwd是保存用户密码的文件,我们输入sudo vi /etc/passwd用sudo命令调用vi打开该文件,定位到root行,可以看到有个“x”号表示root用户设置了密码,我们删除“x”字段最后保存退出。输入命令more /etc/passwd | grep root查看“x”被成功删除,root用户就是空密码了。在angel窗口输入命令sudo root可以看到空密码可以进入到Root登录窗口。(图11)

  

  总结:本文关于Windows、Linux本地用户提权测试,只是从技术上提供一个思路,至于提权以后可以用来干什么还需要我们大家深入挖掘。
  

IT专家网网友 发表时间:2009-4-16 17:08
我实际操作中有个问题:不能修改sudoers文件,这个文件普通用户能够修改吗?
IT专家网网友 发表时间:2008-9-25 10:58
警告: 由于有安全增强功能,此任务将在预期时间运行,但不以交互方式运行
IT专家网网友 发表时间:2008-9-19 14:48
xp下不能用,也不管用!装上工具包没试。反正权限不对!
IT专家网网友 发表时间:2008-9-1 16:58
Support Tools这是微软支持工具包,该工具包中有whoami命令。
IT专家网网友 发表时间:2008-8-29 23:39
o 在 Win2003下,whoami 可用!
真的,要相信科学。
IT专家网网友 发表时间:2008-8-25 19:15
Support Tools这是微软支持工具包,该工具包中有whoami命令。
IT专家网网友 发表时间:2008-8-25 13:50
是不是胡说八道啊,windows 下有whoami这个命
2009-6-3 13:27
0
游客
登录 | 注册 方可回帖
返回
//