瑞星卡卡安全论坛

【阅读前的重要提示】

本文主要针对对操作系统和反病毒知识有一定了解的计算机爱好者交流所创作，E文比较苦手及对操作系统知识没有足够基础的朋友，建议无视，以免浪费你们的时间；对一些操作系统老手，为方便阅读，本文对部分英文进行了翻译，翻译得如果不当请见谅……

【引子】

卸载毛豆个人防火墙安装毛豆CIS后（强烈鄙视煤球没提前介绍，导致我多做了无用功），想看看它的D+究竟有多强。就从测试冰刃主程序（有SYSTEM权限，毛豆会不会察觉呢？）的运行说起吧。

【前期准备工作】

首先必须修改对毛豆CIS的相关设置，以使毛豆监控更加全面和敏感：

1、运行桌面上毛豆CIS的快捷方式（缺省安装的话，则为“COMODO Internet Security（毛豆互联网套装）”），显示出毛豆CIS的主界面：

图1：

2、单击“MISCELLANEOUS（杂项）”，再单击“SETTINGS（设置）”，按下图做好设置（勾选项目后，单击“APPLY”使修改生效，下同）：

图2：

图3：

3、单击“DEFENSE+（防御增强模块）”，之后单击左侧窗格的“ADVANCED（高级）”：

图4：

图5：

4、单击图5中的“DEFENSE+ SETTINGS（防御增强模块设置）”，完成如下设置：

图6：

图7：

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

【操作实况】

现在开始。让我们给冰刃主程序加载的活动来一层层剥皮：

5、找到冰刃软件：

图8：

6：双击冰刃软件文件夹后，毛豆CIS立刻弹出对话框，说冰刃是病毒，汗（冰刃：你毛豆CIS权限已经很大了，看我权限大点就不顺眼么？别窝里斗行不……）！注意这里要单击“Ignore（忽略）”后，选择“Permanently（永久忽略）”，否则这个对话框永远也不会消失，晕……：

图9：

7、双击运行冰刃主程序（这里要注意对图中标记进行相关设置），对所有确认对话框一律在勾选“allow the request(允许此请求)”项目后，再单击“OK（完成）”（恭喜你，噩梦开始了……）：

（1）释放驱动映像文件c:\windows\system32\drivers\isdrv122.sys：

图10：

（2）创建受保护的注册表启动项（驱动程序）：

图11：

（3）创建上述驱动程序的下级注册表值项“type”：

图12：

（4）创建驱动程序的下级注册表值项“Error Control”：

图13：

（5）创建驱动程序的下级注册表值项“Start”：

图14：

（6）创建驱动程序的下级注册表值项“Image Path”：

图15：

（7）在安全模式的注册表项下创建驱动程序映像文件的注册表项：

图16：

（8）通过将驱动程序注册为设备驱动的方式（内核驱动），获得系统最高权限：

图17：

（9）创建驱动程序的下级注册表子项“Enum”：

图18：

(10)冰刃主程序icesword.exe运行完毕，出现大家久违的窗口。

图19

【总评】

1、只有在第4步将“defense+”设置为“Paranoid Mode(偏执狂模式)”之后，才能领略到步骤7中暴风骤雨般弹出对话框的魅力，其他模式下，弹出对话框数量将随着“Defense+ Security Lever（D+安全级别）”的变低而出现锐减。当然，如果设置过低的安全级别，虽然你方便了，但对冰刃主程序加载后在系统里究竟干了什么，估计仍然一头浆糊，因此说，求知的人只能选择迎难而进，方能获得比一般人更多的知识和经验。

2、在步骤7中，我对冰刃创建和修改系统注册表相关键值进行了一些个人的解释，限于个人水平，一些解释可能不当，如有发现，请与本人联系纠正，顺便提前感谢一下。

3、从步骤7来看，毛豆CIS在冰刃主程序运行后生成映像文件、生成或修改注册表键值、极高进程权限提示方面实现了全面监控，基本做到了滴水不漏，本人也深深为之震撼（可能是头一次认真研究HIPS软件的缘故吧，不过毛豆表现的确让人满意）。

4、结合本文联想一下，如果你想对一个不熟悉的程序甚至病毒进行研究，除了解正常程序或病毒的加载内容，还可以在适当的时候选择“Block the request”的话，可阻止病毒的继续伤害，因此毛豆是一个不错的选择。但如果被研究的对象是可疑文件甚至恶性病毒，建议在虚拟机或其他还原软件下运行，否则可能对操作系统造成致命伤害。

【注】

本文是本人第一次耐着性子研究HIPS软件的肤浅体会，为了第7步所有截图我被迫重启十多次电脑（系统自带画图程序会被毛豆提示对话框屏蔽，所以不能连续截图，只能重启电脑使冰刃驱动加载复元后，再重新截图），且亦属于个人心得。如需转载请注明本文作者为卡卡论坛的“超级游戏迷”；

哇，这么多:kaka1:

期待下一个病毒分析帖子

看来必须得借助SNAGIT的AVI视频截取功能了，可怜我的机啊……:default87:

建议勾选block all unknown选项，那样出现什么意外的话，所有ask将block

我装的CIS那一项的注释不知什么原因，无法显示完整，而且不仅是这一项有此问题，因此没有勾选。

难道会遭遇RPWT？:default24:

游戏迷最近是否碰到不少RPWT？:default14:

在研究一段时间毛豆后会不会再研究下其他的HIPS软件？到时顺道在HIPS区多灌点精华:default6: :default5:

在中文系统下，毛豆显示都不完整，但不妨碍使用，明白该项大概意思就可以了，除非安装英文xp

原来如此，差点把毛豆卸载重装……:default20:

英文XP就算了，不只是翻译问题，可能还过不了WGA。看来也只能凑和用了……:default21:

这毛豆一般只用于体验

不能用于实际生活中的

会累死

还是找个别的玩吧

国产的HIPS也有好玩的

貌似发现6个威胁，是啥？是不是注册机之类的

你的眼可真尖……:default20:

三个注册机，三个硬盘版一键GHOST的DD……:default21:

很好很强大

主动防御？

没有耐心看完全部图文。没有试一下，还不知用TINY观察有没有这么细，我想只要设位置得当，TINY也能做得这细、这好的。而用tiny来观察，比这简单灵活的多了吧？！这个什么鸟毛豆，操作也太麻烦了，记录更不方便，还原回滚大概也不可能吧？与ssm差不多吧？

此物操作之繁琐及记录之不易，让我连看完楼主的大作的耐心都难有！:default11: :default11: :default11:
不用什么毛豆，就用tiny!!!!!!!!!!!!!!!!:default11: :default11:

tiny有其优势，tiny的架构、日志、回滚、分组、优先级、rdfd设置的细致度、md5是毛豆无法比拟的，这点在ca最新的hips8.1中体现更加明显，但是毛豆的优势在于他的研发团队理念，毛豆的磁盘底层读写，拦截截屏、rd通配符、内存预读技术，以及以后的溢出防御、沙盘等，是tiny无法比拟的，总之，这两款我都在用，毛豆用于整体安全防御，tiny侧重于玩毒。

ps：毛豆与ssm没有可比性，不在一个层次上

怎么我无法发新帖？？？？？？？？？？？光标不到写字框区区，无奈，不知可否把图传这里？试试：这是用tiny所看到的冰刀“出鞘”过程，1为加载dll们，3为注册表的变化；2为加载冰刀驱动；4，不理解的是冰刀干嘛要自己删除自身的驱动，但又被自己阻止了，可能与偶的tiny的些规则有关：追踪组的东东不给删除文件，尤其是驱动的权。

附件: 冰刀出鞘.png

根据楼上的图片显示的内容，已对文中部分不正确表述做了必要纠正，感谢楼上提供tiny图片……:default7:

TINY在几次测试中分别以各种方式挂掉后（TRACK也时常失效，未知原因）
我卸载了

你们太强了...:default2: