天琊超级进程监视器的应用试验(19)

news2024/11/25 4:18:55

实验目的
1、了解进程概念及其基本原理;

2、掌握天琊超级进程监视器的安装与使用。

预备知识
本实验要求实验者具备如下的相关知识。

      操作系统的安全配置是整个系统安全审计策略核心,其目的就是从系统根源构筑安全防护体系,通过用户的一系列设置,形成一整套有效的系统安全策略。

      经典的信息保密性安全模型Bell-LaPadula模型指出,进程是整个计算机系统的一个主体,它需要通过一定的安全等级来对客体发生作用。进程在一定条件下可以对诸如文件、数据库等客体进行操作。如果进程用作其他不法用途,将给系统带来重大危害。

      在现实生活当中,许多网络黑客都是通过种植“木马”的办法来达到破坏计算机系统和入侵的目的,而这些“木马”程序无一例外的是需要通过进程这一方式在机器上运行才能发挥作用的。另外,许多破坏程序和攻击手段都需要通过破坏目标计算机系统的合法进程尤其是重要系统进程,使得系统不能完成正常的工作甚至无法工作,从而达到摧毁目标计算机系统的目的。针对进程的不合法使用行为,进程监视类软件为用户提供了实时监控系统内进程活动的功能。本次试验所介绍的天琊超级进程监视器,它主要用于上网时监控系统内进程的活动,可以有效阻止病毒的后台运行,其主体核心就是监控“已经运行的程序去启动规则外的程序”这类行为。监控方式为设立白名单和黑名单。程序以默认设置运行后,一旦运行白名单内没有的程序,并且此程序在黑名单监控区内,那么监控器就会跳出提示,让用户做出对进程放行或者阻止其运行的选择。那么一般情况下,哪些进程适合放入白名单,又有哪些进程一定要放入黑名单阻止其运行,这就需要我们有一定的系统和反病毒基础才行。否则软件使用初期,可能会将一些危险的东西加入白名单内,导致阻拦病毒不足。

      Windows系统下面有几个程序是不适合加入白名单的,对于它们的进程行为,一定要对用户给出提示。

      %SystemRoot%\system32\cmd.exe

      %SystemRoot%\system32\Command.com

      %SystemRoot%\system32\Wscript.exe

      %SystemRoot%\system32\Cscript.exe

      %SystemRoot%\system32\mshta.exe

      %SystemRoot%\system32\rundll32.exe

      其中,cmd.exe是Windows 操作系统的命令行控制台程序。保护后,默认任意程序无法直接启动 cmd.exe,防止被恶意程序后台利用。

      Command.com是兼容 Windows 16 位的命令行处理器。保护后,默认任意程序无法直接启动 Command.com,阻止其被恶意程序利用。

      Wscript.exe是 Windows 系统的脚本解释器,用于执行 VBScript 和JScript脚本。恶意程序会利用 Wscript.exe 启动其它程序对系统进行破坏。保护后,默认任意程序无法直接启动 Wscript.exe,阻止其被恶意程序利用。

      Cscript.exe是 Windows 系统的脚本解释器,用于执行 VBScript 和JScript脚本。恶意程序会利用 Cscript.exe 启动其它程序对系统进行破坏。保护后,默认任意程序无法直接启动 Cscript.exe,阻止其被恶意程序利用。

      mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件,其中最典型的就是会被利用来执行一些恶意程序行为。保护后,默认任意程序无法直接启动 mshta.exe,阻止其被恶意程序利用。

      rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被广泛使用,而它本身也会被病毒后台广泛的用于启动加载病毒文件的运行。保护后,默认任意程序无法直接启动 rundll32.exe,阻止其被恶意程序利用。

实验环境
本地主机:Windows XP操作系统、天琊超级进程监视器程序。

实验内容和步骤
本实验分为两个任务:

任务一:对运行进程做四种方式的处理;

任务二:使用白名单/黑名单自定义监视策略。

准备工作
将软件压缩包解压缩。解压后有三个文件,SuperMonitor.exe是监控主程序,CH000003.sys是驱动文件,需要被主程序加载。Run.dat是数据文件,黑白名单以及一些设置都保存在这里。

任务一:对运行进程做四种方式的处理
      解压完毕后双击SuperMonitor.exe程序运行,程序启动后可在右下角状态栏看到程序运行图标。双击图标可打开程序主界面如下图所示:

     
      从上图可查看,主面板主要分为两部分,白名单和黑名单。白名单主要列出了监视器直接允许放行的程序路径或命令行。相反,黑名单列表则显示需要监控哪些路径/命令行的程序。程序运行后,原始默认是提示的,一旦系统运行了白名单内没有的程序,并且此程序是在黑名单监控列表内,那么监控器就会跳出提示,如下图:

    
      这时我们需要详细根据提示做出正确的处理,如果是你正在启动你自己的正常软件,那么可以选择“信任路径”项,这时候图中对应的“被启动进程路径”中的那个程序将被加入白名单允许运行,而“此程序欲启动下面程序”一栏标示的是欲启动“被启动进程路径”中的那个程序的原始程序,这个父进程是不在操作之列的。只是提示给你,让你知道什么程序欲启动图中所示的C:\Program Files\Java\jre7\bin\java.exe 这个程序而已。说明一下,提示窗口内四个项目的含义:

      仅允许启动本次——指仅允许当前提示中的进程行为一次,再次出现同样进程行为时,还会继续提示;

      信任被启动程序——指信任“启动进程”路径中显示的那个程序,并加入白名单,以后对同样进程行为不再提示和阻止;

      信任启动命令行——指仅信任命令行,并加入白名单,以后对同样进程行为不再提示和阻止;

      禁止启动并退出——指阻止进程行为。

任务二:使用白名单/黑名单自定义监视策略
      我们以rundll32.exe为例,介绍监视器的基本使用方式。Rundll32.exe是很多操作中需要启动它的。例如查看桌面右键属性、任务栏右下角调整时间,控制面板内大量项目的设置等等,都需要rundll32.exe的运行支持。我们查看程序默认设置情况下的白名单,发现一条命令行如下:

      “C:\WINDOWS\system32\rundll32.exe /d”C:\WINDOWS\system32\shell32.dll,Control_runDLL dest.cpl

      上面这个命令行是没有任何病毒或非正常程序调用的,它属于桌面进程的属性查看那一步操作的程序行为。我们将此命令行从白名单中删除:
   
      删掉之后,在桌面右键菜单查看属性,会看到程序跳出如下提示:

      从提示框中可看到rundll32.exe程序被启动,启动程序命令行内容即为刚才所删除的那条命令行信息。接下来选择信任启动命令行,该命令行被重新加入到白名单中。将启动命令行而不是rund32.exe程序添加到白名单,使我们既要监控器不影响查看桌面进程等单纯属于Windows自身操作的行为,也不需要担心rundll32.exe被木马病毒任意利用运行。从这一示例中可发现,灵活运用“信任命令行”操作,是监控器的核心之处。

      监控器主面板还提供了其它一些操作,方便我们对进程进行监控管理。如,对文件目录及其子目录的监控,假设想把“C:\Program Files”及其子目录下的所有进程加入白名单中,可以在主面板中点击“浏览目录”,选择目录“C:\Program Files”,操作如下图:


      同时选中“含子目录”选项,这时监视器就会放行“C:\Program Files”及其子目录下的所有程序:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/392391.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux系统安装Tomcat

(1)登录Tomcat网址 https://tomcat.apache.org/,下载Tomcat安装包(2)登录我们的虚拟机,使用Linux系统中的“rz”命令上传压缩包(注意:如果使用“rz”上传压缩包出现错误时&#xff0…

STM32模拟SPI时序控制双路16位数模转换(16bit DAC)芯片DAC8552电压输出

STM32模拟SPI时序控制双路16位数模转换(16bit DAC)芯片DAC8552电压输出 STM32部分芯片具有12位DAC输出能力,要实现16位及以上DAC输出需要外挂DAC转换ASIC。 DAC8552是双路16位DAC输出芯片,通过SPI三线总线进行配置控制输出。这里…

苹果新卫星专利公布,苹果Find My功能知多少

根据美国商标和专利局(USPTO)公示的清单,苹果公司获得了一项新的卫星专利,可在非地面网络(Non-Terrestrial Networks,NTN)中定位用户设备(iDevice、MacBook 等)。 在专利…

Docker(六)--Docker网络--单机与跨主机(macvlan)容器通信

文章目录一、本地节点通信1.DNS2.joind网络模式3.端口映射4.跨主机容器通信二、跨主机容器通信1.相同网段进行通信2.不同网段进行通信一、本地节点通信 1.DNS 容器之间除了使用ip通信外,还可以使用容器名称通信。docker 1.10开始,内嵌了一个DNS server。…

【算法进阶】回溯(backtracking)基本逻辑,以及常见回溯问题(全排列、解数独、八皇后)

文章目录一、引言二、回溯法基本逻辑三、回溯法代码模板三、回溯法常见问题3.1 组合逻辑代码3.2 子集逻辑代码3.3 子集Ⅱ(未解答)逻辑代码3.4 分割回文串逻辑代码3.5 组合总和Ⅰ逻辑代码3.6 组合总和Ⅱ(未解答)逻辑代码3.7 组合总…

Mycat

Mycat 1.概述 1.Mycat是数据中间件2.中间件:连接软件组件和应用的计算机软件,便于软件和各部件的交互3.数据中间件:连接Java应用程序与数据库的软件2.适用场景 1.Java与数据库紧耦合(直接连接)2.高访问量高并发对数据库压力(集群)3.读写请求数据不一致(读写分离+主从复制)3.…

关于Gooey复选框CheckBox的使用

折腾了我一下午 官网也没发现具体的使用方法 老是报错 索引超出范围 我就很疑惑 百度也没有答案后来我修改成了非必参 加-- 这是不选中操作这是选中操作他说必须要有一个参数 我有啊 没搞懂 后来 我就这样(根据他报错提示来的)果真就没了问题这样也没问题 具体我还是没搞懂 反正…

K_A16_001 基于STM32等单片机驱动HX711称重模块 串口与OLED0.96双显示

K_A16_001 基于STM32等单片机驱动HX711称重模块 串口与OLED0.96双显示一、资源说明二、基本参数参数引脚说明三、驱动说明对应程序:四、部分代码说明1、接线引脚定义1.1、STC89C52RCHX711称重模块1.2、STM32F103C8T6HX711称重模块五、基础知识学习与相关资料下载六、视频效果展…

项目实战典型案例17——环境混用来带的影响

环境混用来带的影响一:背景介绍背景出现的事故二:思路&方案环境混用的危害如何彻底避免环境混用的问题四:总结五:升华一:背景介绍 本篇博客是对对项目开发中出现的环境混用来带的影响进行的总结并进行的改进。目的…

你想知道的OSPF协议知识点都在这里了

1、OSPF协议概述 1)为什么需要动态路由协议? 静态路由是由工程师手动配置和维护的路由条目,命令行简单明确,适用于小型或稳定的网络。静态路由有以下问题:a)无法适应规模较大的网络:随着设备数量增加,配置量…

SpringBoot学习笔记(三)整合Logback日志框架

一、日志框架介绍1、常见日志框架目前我们常见的日志框架为Log4j、Log4j2、Logback这3种,并且现在很多的工具包里面都会自带日志框架,因此我们使用要格外小心日志框架的冲突。2、三种日志框架之间的关系最先有Log4j,然后因为Log4j有很大的性能…

uniapp系列-图文并茂手把手教你hbuilder进行uniapp云端打包 - 安心打包

什么是安心打包 提交App的模块配置信息到云端,在云端打包机生成原生代码包 为什么使用云打包 更安全:打包时不提交应用代码、证书等信息更快速:非首次打包时不用提交云端打包机排队等待,本地直接出包省流量:减少了打…

Linux开发环境配置--正点原子阿尔法开发板

Linux开发环境配置–正点原子阿尔法开发板 文章目录Linux开发环境配置--正点原子阿尔法开发板1.网络环境设置1.1添加网络适配器1.2虚拟网络编辑器设置1.3Ubuntu和Windows网络信息设置Ubuntu网络信息配置方式:1.系统设置->网络->选项2.配置网络文件2源码准备2.…

Vuex 状态管理

文章目录Vuex概述安装单向数据流Vuex核心概念StatemapState 辅助函数扩展运算符GettermapGetters 辅助函数Mutation提交载荷提交载荷对象对象风格提交使用常量替代mutation事件类型Action异步分发Module命名空间Vuex 概述 Vuex 是一个状态管理库,用于管理 Vue.js …

CRM系统是什么?为什么使用它?

CRM系统是什么?为什么使用它?这篇来简单说下,CRM系统是什么?能帮助我们做什么?有什么好处? 01 CRM系统是什么? 我总结了7种关于CRM的概念,任意一个解释得其实都没什么问题&#xff…

【数据结构】核心数据结构之二叉堆的原理及实现

1.大顶堆和小顶堆原理 什么是堆 堆(Heap)是计算机科学中一类特殊的数据结构,通常是一个可以被看作一颗完全二叉树的数组对象。 完全二叉树 只有最下面两层节点的度可以小于2,并且最下层的叶节点集中在靠左连续的边界 只允许最后…

2023FL Studio最新中文版电子音乐、混音和母带制作DAW

水果具有独特的底层逻辑,其开创了编曲“块”的思维。用FL Studio编曲的流程是在把一个样式编辑好,然后将编辑好的样式当做音频块,在播放列表中像“搭积木”一样任意编排,形成一首歌,这种模式非常利于电子音乐编曲。 2…

Apinto V0.12 发布:新增流量镜像与 Mock 插件,路由特性更丰富!

Hello~ 各位开发者朋友们好呀, Eolink 旗下开源网关 Apinto 本周又更新啦!这次的更新我们给大家带来了 2个好用的插件,且目前已经支持静态资源路由了!希望新的功能能让大家的开发工作更加高效 ~ 1、新增流量镜像插件 …

学习streamlit-1

Streamlit A faster way to build and share data apps streamlit在几分钟内就可以将数据脚本转换为可共享的web应用程序,并且是纯python编程,无需前端经验。 快速开始 streamlit非常容易上手,运行demo只需2行代码: pip install…

0306spring--复习

一,spring是什么 Spring是一个轻量级的控制反转(IOC)和面向切面编程(AOP)的容器框架 理念:使现有的技术更加容易使用,本身是一个大杂烩,整合了现有的技术框架 优点&#xff1…