[原创]突破HIPS的防御思路之duplicate physical memory-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 2 楼膜拜mj 貌似EQ就是极端无聊的没人用的HIPS之一访问\PhysicalMemory法记得好像打了某个sp后就失效了 2009-5-17 13:37 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 3 楼这类HIPS为什么没人用： 1).事实上没人用：作者不懂宣传和商业手段等客观原因 2).理论上没人用：不考虑用户实际使用和正常软件的兼容、产品的兼容性，只考虑安全性，即使强制推送，也必然被用户抛弃，和VISTA SP0的下场比较类似 2009-5-17 13:43 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼复制后的访问权限可以随意指定，这是个问题啊~ 2009-5-17 18:54 0
azy 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	azy 5 楼这个方法可以过垃圾e盾，其它比较难 2009-5-17 21:03 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 6 楼绝大部分商业防护软件、驱动防火墙，都可以过 2009-5-17 21:13 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼这是因为你用Admin权限打开了object，如果你用个User权限试试~~ 如果能...恭喜你，一个安全漏洞被发现了。 Win7下不能啊~ ZwOpenSection都失败了~ 2009-5-17 21:54 0
漂亮乞丐雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	漂亮乞丐 8 楼老V正解！！！！！！！！！ 2009-5-18 10:37 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 9 楼实际是因为duplicate/open都是走obcreatehandle等等，都要经过access check,duplicate由此可看做open的变形~ 2009-5-18 11:14 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 10 楼老V什么时候也发点原创的东西呢？ 2009-5-18 21:32 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 11 楼引用： 2).Duplicate法，大部分目前的安全软件，都是拦截\Device\PhysicalMemory并判断DesiredAccess是否包含SECTION_MAP_WRITE（除了一些极端无聊的没人用的HIPS外，这种的完全可以无视）, 因为一些正常的软件，也需要打开\Device\PhysicalMemory进行物理内存读入（例如微软Wga~)。我装的HIPS，凡是读取物理内存的操作我都是拒绝，很多软件都有这个动作，拦截后仍然正常！ 2009-5-19 10:11 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 12 楼不发帖，只回帖~ 另外我一般喜欢发从各个毒或者角落里翻出来的bin 2009-5-19 12:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 2 楼膜拜mj 貌似EQ就是极端无聊的没人用的HIPS之一访问\PhysicalMemory法记得好像打了某个sp后就失效了 2009-5-17 13:37 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 3 楼这类HIPS为什么没人用： 1).事实上没人用：作者不懂宣传和商业手段等客观原因 2).理论上没人用：不考虑用户实际使用和正常软件的兼容、产品的兼容性，只考虑安全性，即使强制推送，也必然被用户抛弃，和VISTA SP0的下场比较类似 2009-5-17 13:43 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼复制后的访问权限可以随意指定，这是个问题啊~ 2009-5-17 18:54 0
azy 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	azy 5 楼这个方法可以过垃圾e盾，其它比较难 2009-5-17 21:03 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 6 楼绝大部分商业防护软件、驱动防火墙，都可以过 2009-5-17 21:13 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼这是因为你用Admin权限打开了object，如果你用个User权限试试~~ 如果能...恭喜你，一个安全漏洞被发现了。 Win7下不能啊~ ZwOpenSection都失败了~ 2009-5-17 21:54 0
漂亮乞丐雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	漂亮乞丐 8 楼老V正解！！！！！！！！！ 2009-5-18 10:37 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 9 楼实际是因为duplicate/open都是走obcreatehandle等等，都要经过access check,duplicate由此可看做open的变形~ 2009-5-18 11:14 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 10 楼老V什么时候也发点原创的东西呢？ 2009-5-18 21:32 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 11 楼引用： 2).Duplicate法，大部分目前的安全软件，都是拦截\Device\PhysicalMemory并判断DesiredAccess是否包含SECTION_MAP_WRITE（除了一些极端无聊的没人用的HIPS外，这种的完全可以无视）, 因为一些正常的软件，也需要打开\Device\PhysicalMemory进行物理内存读入（例如微软Wga~)。我装的HIPS，凡是读取物理内存的操作我都是拒绝，很多软件都有这个动作，拦截后仍然正常！ 2009-5-19 10:11 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 12 楼不发帖，只回帖~ 另外我一般喜欢发从各个毒或者角落里翻出来的bin 2009-5-19 12:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复