1.預備知識
malware defender是一款 hips (主機入侵防禦系統)軟體,使用者可以自己編寫規則來防範病毒、木馬的侵害。另外,malware defender提供了很多有效的工具來檢測和刪除已經安裝在計算機系統中的惡意軟體。
malware defender監控範圍廣:對應用程式、檔案、登錄檔和網路進行全面監控;資源占用少:占用cpu及記憶體資源少,對系統效能的影響比較小;輔助工具全:提供全面的工具來管理計算機系統,包括對程序、檔案、登錄檔、網路埠、自動執行程式等資訊的管理。
實時保護系統:
監控對程序、檔案和登錄檔的可疑操作。
能夠檢測到各種已知和未知的惡意軟體。提供學習模式和安靜模式。
比較高的效能和比較低的資源占用。
程序管理器:
檢測隱藏程序和執行緒。
檢測未通過簽名驗證的程序和模組。
使用底層技術結束程序和執行緒。
掛起/恢復程序和執行緒。
解除安裝程序模組。
關閉程序控制代碼。
核心模組管理器:
檢測隱藏核心模組和核心執行緒。
檢測未通過簽名驗證的核心模組。
結束、掛起或恢復核心執行緒。
刪除核心延遲呼叫定時器。
鉤子檢測器:
檢測並恢復系統服務表鉤子(ssdt鉤子)。
檢測並恢復win32k服務表鉤子(shadow ssdt鉤子)。
檢測並恢復中斷描述表鉤子(idt鉤子)。
檢測並恢復sysenter處理例程。
檢測並恢復核心物件鉤子。
檢測並恢復系統通知例程。
檢測並恢復核心模式**鉤子。
檢測並恢復使用者模式**鉤子。
檢測並恢復全域性訊息鉤子。
檢測附加裝置。
檢測驅動程式分發例程。
自動執行程式管理器:
搜尋所有已知的自動執行程式所在位置。
檢測隱藏自動執行程式。
檢測新增的自動執行程式。
允許撤銷和重做對自動執行程式的刪除操作。
檔案瀏覽器:
檢測隱藏的檔案和資料夾。
顯示和刪除ntfs資料流。
刪除使用中的檔案。
全功能登錄檔編輯器。
檢測隱藏登錄檔條目。
系統相容性:
windows 2000 (service pack 4)
windows xp (32-bit)
windows 2003 (32-bit)
windows vista (32-bit)
windows 2008 (32-bit)
windows 7 (32-bit)
以上內容整理自:
md的學習模式、安靜模式和正常模式的區別:(kafan forum)
1.學習模式:md的學習模式是方便用來定義規則的,學習模式下所有操作都會定義為允許規則,所以如果病毒在學習期間執行了,那以後正常模式也防不住了
2.安靜模式:在使用安靜模式時,如果檢測到可疑的操作,並且規則設定為「詢問」時,本軟體將自動阻止該操作。
3.正常模式,會有詢問
mysql 利用 mysql利用
mysql 寫入webshell復現 1.直接寫入 windows成功率較高 1.檢視是否允許可寫 空可寫,null不行,5.5以前預設為空,5.5以後預設為null 2.寫入檔案 2.日誌檔案寫入shell 5.0以後會建立日誌檔案 資料庫許可權 1.檢視是否開啟日誌 2.開啟日誌 3.設定路徑 ...
利用AlwaysInstallElevated提權
2.啟用alwaysinstallelevated 3.提權 4.防禦方式 5.參考文章 alwaysinstallelevated是登錄檔的乙個鍵值,當其值為1的時候,普通使用者即可以system許可權安裝msi程式。certutil.exe urlcache split f開啟powershel...
鉤子的利用
在 ae 開發中,可以利用鉤子把 mapcontrol 給傳到由 itool 或者icommond 繼承的命令或者工具裡,傳進去的鉤子就是 hook 型別是乙個 object 實際上就是乙個 mapcontrol 可以用強制轉換為 mapcontrol icommand gtcstandard if...