瑞星卡卡安全论坛

第四关今天晚上8点结束了。
两天来，看了各参赛队的HIPS分析结果，有一点点感想。发在这里，大家可以随便拍砖。


也许是时间较紧，也许是太在意麦青儿定的规则，总之，没看到超出规则以外的分析内容。遗憾。

其实，如果不是因为时间紧，做一些超出规定范围的测试，乃至探讨一下在中毒环境下可能的反击手段，对提高参赛者的反病毒技术水平还是很有帮助的。

比如第四关的第二个样本。完成初步测试后，可有针对性的改动一下HIPS规则（操作不是很复杂），防止cmd.exe被滥用且不影响系统程序及应用程序使用cmd.exe。然后，再测试2.exe一次，则可看到另一番景观

图1中蓝框显示的是：更动TINY的规则后病毒读写硬盘及注册表的动作受限；绿框显示的是：病毒的一个IFEO劫持动作没有漏监，但IFEO劫持项并未写入注册表内，且IceSword可以不受病毒影响，正常方式运行（见图2）；红框显示的病毒的文件感染动作也没因此有漏监。


图1：








图2：








这样，既达到了行为分析目的，又方便分析后的收场操作（如果实机测试样本应考虑这个问题）。

此外，还可以再想想：利用cmd.exe作恶的病毒不少。如果你自己可用动手设置出控制cmd.exe的规则，则可在提高HIPS的防毒性能上进一大步。何乐不为？

用户系统信息：Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10

“没看到超出规则以外”:kaka2:

猫叔“超出规则”是不是自己制作HIPS规则，然后通过规则来防御病毒运行。

HIPS本质上就是个性化的安全工具。讲究的就是——量体裁衣。


使用所谓通用规则或默认规则，那就把一个好好的HIPS糟蹋了。

抓狂！

“糟  蹋”二字也过滤啊？:kaka10:

:kaka20:  原来是这么一回事

看来以后还要学着利用HIPS防御病毒，这样也可以更好的了解系统知识，可以再次深入学习。

对CMD.VBS语法两眼一抹黑
CMD还马马虎虎，VBS完全抓瞎:kaka6:
理论上通过控制命令行对CMD的监控可以达到比较好的效果。但是事实上远远没有我禁止CMD随意启动进程效果好:kaka6:

顺便说一句，猫叔你干嘛不提前爆料下你的打分情况:kaka12:

这个倒是没有想到:kaka3:

在这次分析过程中我或以不少，很感谢猫叔给的建议，我以后注意。

还有就是猫叔，一般的很少有人使用HIPS来防御自己的主机，一般的都是些对HIPS非常有研究的，我使用的SSM相对来说是比较简单的，但是我感觉也是很好用的一个，但是缺点也是有的缺乏ND，就是对网络的监控。在这次比赛中明显感觉到不足。

对于病毒行为分析和HIPS防御，我要学的东西还很多:kaka1:

谢谢猫叔了:kaka12:

现在还没评分。再等等

SSM还缺少FD，文件监控不好拦啊

:kaka12:  我就老实按活动规矩跑

不过超出规则以外的反击, 只要工具运用恰当, 俩三下就收拾了..

其实有好些行为都心知肚明

可是碍于规则  在实际分析中并没有触发的  还是没有整理

这也给整理结果创造了一个两难的结果

至于防御和处理方法  如果没有规定使用某个软件  那样在不同环境内其实要通过大量测试才可以确定是否可行

感谢baohe这么仔细的讲解，我们参加活动的重要目的是学习，一个时间紧，另外也是水平有限，成天呆在电脑前确实很难做到。若能有一个更轻松的环境就好了！
当然规则确实也有些太严，第一关我们只因为修改了权限都被取消了成绩，所以。。。