突破主动防御之注册表监控篇
来源:互联网 发布:手机淘宝开店怎么注销 编辑:程序博客网 时间:2024/04/30 11:55
文章作者:xyzreg [E.S.T]
目前主动防御的概念已经深入人心,许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能,防止自启动项以及IE相关键值被修改,对防范病毒木马以及流氓软件等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击,我们仍然可以绕过注册表监控修改注册表。
绕过注册表监控的方法不止一种,应根据不同情况灵活运用。 除了本演示程序使用的操作HIVE文件修改注册表的方法,我们还可以写驱动解除注册表监控程序的钩子,或者直接调用CmXXXXX等未导出函数来操作注册表等。
测试了卡巴6、瑞星2007、GSS、江民2007等含有注册表监控功能的安全软件,我写的这个演示程序均可以突破他们成功修改注册表。
本程序仅作科普以及安全警示之用,旨在提高大家安全意识以及选择更好的安全产品。勿将程序中的方法用于非法用途。
2月27日更新:
程序已升级,可以突破以前版本不能突破的 SSM(System Safety Monitor )最新版、卡巴6最新版、ZoneAlarm Pro 7、EQSecure、ProSecurity等。 就目前来看,此次增加的特殊方法修改注册表B可以突破除了犀牛(Safe'n'Sec)之外所有的实时拦截类注册表监控程序。
当然,仍有方法突破犀牛改注册表的,比如使用非常规进Ring0法进Ring0然后恢复他的SSDT hook。至于360safe之类的注册表修改通知式的非实时注册表监控也有办法绕过。有两大方法,清除Notify回调函数和rootkit技术隐藏注册表。
程序下载地址:http://www.xyzreg.net/BypassRegMon.rar
目前主动防御的概念已经深入人心,许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能,防止自启动项以及IE相关键值被修改,对防范病毒木马以及流氓软件等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击,我们仍然可以绕过注册表监控修改注册表。
绕过注册表监控的方法不止一种,应根据不同情况灵活运用。 除了本演示程序使用的操作HIVE文件修改注册表的方法,我们还可以写驱动解除注册表监控程序的钩子,或者直接调用CmXXXXX等未导出函数来操作注册表等。
测试了卡巴6、瑞星2007、GSS、江民2007等含有注册表监控功能的安全软件,我写的这个演示程序均可以突破他们成功修改注册表。
本程序仅作科普以及安全警示之用,旨在提高大家安全意识以及选择更好的安全产品。勿将程序中的方法用于非法用途。
2月27日更新:
程序已升级,可以突破以前版本不能突破的 SSM(System Safety Monitor )最新版、卡巴6最新版、ZoneAlarm Pro 7、EQSecure、ProSecurity等。 就目前来看,此次增加的特殊方法修改注册表B可以突破除了犀牛(Safe'n'Sec)之外所有的实时拦截类注册表监控程序。
当然,仍有方法突破犀牛改注册表的,比如使用非常规进Ring0法进Ring0然后恢复他的SSDT hook。至于360safe之类的注册表修改通知式的非实时注册表监控也有办法绕过。有两大方法,清除Notify回调函数和rootkit技术隐藏注册表。
程序下载地址:http://www.xyzreg.net/BypassRegMon.rar
- 突破主动防御之注册表监控篇
- 过卡巴注册表主动防御
- 过卡巴注册表主动防御
- AVP主动防御之隐藏进程
- 利用INF写注册表启动 及 浅析瑞星行为防御、360主动防御
- 注册表处理之注册表监控
- 另类下载者轻松突破瑞星2010主动防御及ESET高启发
- 病毒木马查杀实战第020篇:Ring3层主动防御之基本原理
- 病毒木马查杀实战第021篇:Ring3层主动防御之编程实现
- 过卡巴斯基主动防御
- 所谓主动防御
- 东辉主动防御
- 突破HIPS的防御思路之duplicate physical memory
- 主动防御的新型木马
- 病毒也整主动防御
- 炎刃主动防御系统
- 如何过诺顿主动防御
- [RP] RP注册表防御监控软件 - 选自游侠小秘书组件
- 今日事今日毕
- LIBSVM的介绍与使用方法
- 修改配置:让XP不再越用越慢
- mysql中文问题
- 基于ACE的网络服务端通讯编程
- 突破主动防御之注册表监控篇
- 用 Spring 更好地处理 Struts 动作三种整合 Struts 应用程序与 Spring 的方式
- 系统报告“automation服务器不能创建对象"解决方法
- 使用myeclipse集成struts,hibernate,spring的一个示例程序
- Struts常见异常信息和解决方法
- 金蝶中间件公司CTO袁红岗
- ·关于IFC文件读取类的设计的想法(LocalPlacement)
- mssql2005须知 (转载)
- 金山祭旗:为何要杀“灰鸽子”?