[原创->软件->HIPS->S3->BUG信息] s3的自我保护有问题。(rd问题)[目前已经解决]

添加如下规则,

registry: deny HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NCDSSvc

但是regedit还是可以任意修改这个下面的start值,并且没有任何提示。
使用sc这个命令也可以修改相关的服务选项,甚至删除s3服务。
另外,net stop也不受限制,
或者通过services.msc /s和msconfig都可以在s3的保护下轻松更改服务选项或服务启动方式。不得不令人郁闷。

为了说明注册表监控的确有漏洞
我制作了一个测试文件

http://bbs.kafan.cn/attachment.php?aid=127183

md5:87775cdc6ba1d4ff640f6ce4c1e3f385

下载后,有3个文件,都是reg的
测试前,请先制作以下规则
registry: deny HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\123456789
registry: deny HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\123456789\*

完成后,开始测试
直接双击任何一个reg就可以测试,介绍一下每个文件的用处。

建立测试.reg

这个文件将在您的注册表中建立

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\123456789]


删除测试.reg

将删除

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\123456789]

修改测试.reg将修改

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\123456789]
“新值 #1″=””

“新值 #1″=”12457891545646”

不论是否打开

Related posts

发表评论