MD教程及应用之进阶版.doc

阶版MD教程及应用之进 by sanhu35??转载请注明来源 一．MD简单流程：  2011-4-21 17:23 上传 下载附件 (83.88 KB)  2011-4-21 17:23 上传 下载附件 (139.71 KB)  2011-4-21 17:23 上传 下载附件 (89.66 KB)  2011-4-21 17:23 上传 下载附件 (145.77 KB)  MD优先级可以参考： 基础教程：? ?? ???/thread-929442-1-1.html 优先级相关论述：??/forum.php?mod=viewthreadtid=914952 二.拦截项目的理解：1.创建新进程、被执行权限 （推荐操作：询问）父程序运行其他程序的权限。? ? 子程序被父程序运行的权限。例如：日常使用QQ点QQ空间，结果就是QQ运行IE??QQ——IE? ?? ?QQ是父进程，IE是子进程。程序单纯的运行程序是没有危险性的，但是病毒运行windows目录内的cmd或者其他的系统程序的话，可以取得一些权限。2.访问其他进程内存? ?? ? （推荐操作：阻止）通常系统核心进程如svchost.exe、lsass.exe这类程序会修改其他进程的内存。如果是陌生的程序修改系统或者信任程序的内存，建议阻止。3.操作其他进程、线程? ???（推荐操作：阻止）本操作主要是结束进程和在进程中添加线程。如果是病毒利用系统进程，会先修改系统进程的内存，然后进行本操作，在系统进程中添加线程，从而达到控制系统进程的目的。4.进程间消息操作? ?? ?? ?（推荐操作：允许）一般程序都可以允许，但是禁止陌生程序对安软乱发消息。磁碟机就是乱发消息干扰杀软、安软工具的窗口，达到用户无法控制，或者操作无效的作用的。5.加载驱动? ?? ?? ?? ?? ?（推荐操作：阻止）如果只是AD，不论文件格式，只要一条规则即可。但是光AD也不能防范所有的加驱方式。比如：病毒修改系统驱动或者修改安全和第三方软件的驱动，而这些软件对自身驱动加载和文件的防护的强度不够，从而被病毒钻空子所以除了AD要防加驱外，FD还要防止程序的驱动被修改。但光防范这2点还不够，比如机器狗会进行底层磁盘写入，绕过FD修改系统驱动，从而变向的绕过AD加驱。结论：防止驱动的标准规则即：驱动加载、底层写磁盘、FD修改sys6.修改系统内核? ?? ?? ?? ?（推荐操作：阻止）一般没有正常程序进行该操作，病毒修改内核的话，可以取得系统最高权限。??7.修改物理内存? ?? ?? ?? ?（推荐操作：阻止）一般没有正常程序进行该操作，病毒修改内核的话，可以取得系统最高权限。 8.底层磁盘写操作? ?? ?? ? （推荐操作：阻止）层磁盘是采用createfile打开磁盘的方法，HIPS拦截的是打开磁盘这个操作。打开磁盘后，程序按扇区读取磁盘信息，再把这些信息组合起来还原成文件系统。例如：??假设一个分区是ntfs文件系统，d盘下有一个文件x.txtFD文件访问时，比较文件是否x.txt，至于x.txt实机在磁盘哪里，那需要系统提供，应用程序不知道。底层磁盘访问时，读取第一扇区，然后找到mft位置，再读取那个位置的扇区，再找到x.txt的位置，再读取扇区。? ?结论：底层磁盘读取的只是扇区，和FD管的不一样，所以就绕过了FD。9.安装全局钩子? ?? ?? ?? ???（推荐操作：询问---阻止）通常进行此操作的有：游戏、某些插件、外{过}{滤}挂、浏览器。因为安装全局钩子后，程序可以实现很多功能，有的是针对单个程序，有的是在所有的进程中插入钩子。所以陌生的程序是不能轻易允许的。10.底层键盘操作? ?? ?? ?? ? （推荐操作：阻止）常用程序一般都有此操作，如迅雷、截图软件、播放器等等，一般是获取键盘代码，进行快捷键挂钩。当然盗号木马也会这样操作。自己认识的都可以允许，陌生程序先阻止。11.修改系统时间? ?? ?? ?? ? （推荐操作：阻止）08年左右的时候KillAv等病毒经常会修改系统时候，废掉安软。禁止陌生程序修改时间就行了。12.注销、关机、重启? ?? ? （推荐操作：询问）13.访问服务管理器? ?? ?? ???（推荐操作：询问）启动、新建、修改、停止服务.??启动、停止是设置服务状态。新建和修改服务允许后，程序才能进行注册表操作。通常询问就可以了。14.加载库文件? ?? ?? ?? ?? ???（推荐操作：允许）如果禁止加载系统dll 程序将无法运行起来。如果可以检查程序加载无签名的DLL就询问呢，其他