http://hi.baidu.com/shineastdh/blog/item/8808ad1b708df7d8ad6e75fa.html
AKLT反鍵盤記錄及截屏測試
Anti-Keylogger Tester (AKLT) 是用來測試安全軟件防禦鍵盤記錄的測試工具。
最新版的AKLT V3.0 提供了7種不同的方式,來監視和記錄鍵盤輸入。
根據Kaspersky Lab 的文章,目前,流行的鍵盤記錄方式有三種:
Global Hook (66%)、Cyclical polling(29%)、Driver based(5%) 。
AKLT 提供了Global Hook 和 hookless/Cyclical polling 兩類測試,覆蓋了常見的95%的鍵盤記錄方式。
可以有效的檢測HIPS 在鍵盤記錄方面的防禦效果。
剩餘5% 可以通過HIPS 或受限用戶,阻止安裝、加載驅動來實現保護。
此外,AKLT還模仿木馬程序提供了2種截取屏幕測試。
AKLT 新增加了 GetRawInputData 測試(新測試只能用於XP/Vista,不需要.Net)
APT高級進程終止測試
APT(advanced process terminator)是一個利用各種方法來終止進程的工具,在DW非信任下運行APT然後嘗試終止非信任區外的程序,通過此測試可以瞭解沙盤能否保護信任區的程序不被非信任區的程序終止。
roolback
AKLT反鍵盤記錄及截屏測試
Desktop Object
同一個Desktop內的窗口是可以相互發消息的,爲了防止惡意代碼通過Windows消息的方式竊取其它進程的窗口內容,Chromium把Render進程放到了另一個Desktop上,這跟登錄和系統服務都在另一個Desktop是一樣的道理。
Sandboxie是一款專業的虛擬類軟件,它的工作軟件:通過重定向技術,把程序生成和修改的文件,定向到自身文件夾中。當然,這些數據的變更,包括註冊表和一些系統的核心數據。通過加載自身的驅動來保護底層數據,屬於驅動級別的保護。
如上次有人做過測試吧,這個東西不能防底層磁盤操作
雲端已經有的:虛擬功能(金山虛擬文件系統),桌面圖標功能,軟件管理,在線下載
雲端真正開發的:軟件升級
雲端計劃中的:x64支持,雲存儲(金山快盤)
雲端沒有的:本地軟件管理與雲端軟件管理相結合
報道:http://www.cnbeta.com/articles/116467.htm
而且已經把“雲端”的概念加進去了叫“雲安裝”
雲端問題
1。直接的7z文件.
2。如果已經存在目錄,那麼讀寫不回原來的地方
3。不安全,只是一個程序管理工具
他是對目錄進行的監視,不是對程序,所以會產生一堆問題。
它的虛擬化工具倒是與VMWare的Thinapp有些相似。
試過了,把sandboxie的文件按照雲端的目錄格式重新排布一下,就可以用了。
兩者都用了註冊表配置文件技術(reg hive)。
但是發現雲端和沙盒軟件一樣,都用了reg hive配置文件,這樣有個致命的弱點:
virtual application
You're right Keefie, VirtualBox is a virtual machine application like VMware Workstation. It is a very good piece of software (and Open source) but doesn't do application virtualization like Thinapp. I'm quite surprised there isn't an open source (to my knowledge...) application virtualization app though..
雲端執行
D:/Program Files/cloud/LongRAShell.exe C:/Program Files/WinRAR/WinRAR.exe C:/Program Files/WinRAR 1 781762AA362C58C2D24D55A4F50E810C3BE3D03E_0
hardlink
fsutil hardlink create <新文件名> <現有文件名>
BOOL CreateHardLink(
LPCTSTR lpFileName,
LPCTSTR lpExistingFileName,
LPSECURITY_ATTRIBUTES lpSecurityAttributes
);
前兩個參數的意思就不用解釋了,最後一個參數的用途暫時保留,必須爲 NULL。
softlink ,目錄鏈接,雲端的實現方式很像這樣
junction.exe dst src
看雪上有個ring3的沙盤 忘記是哪位牛人寫的了
只需將MFC和VC的signatures加入到IDA中即可。
/Program Files/Microsoft Visual Studio/VC98/include
/Program Files/Microsoft Visual Studio 8/VC/include
hook以下的,可以控制軟件截屏
NtGdiOpenDCW
NtGdiDeleteObjectApp
NtGdiBitBlt
NtGdiStretchBlt
NtUserPrintWindow
NtGdiDdLock
雲端longradrv.sys修改了ssds的ntclose,ntcreatekey,ntdeletekey,ntdeletevaluekey,
ntenumeratekey,ntenumeratevaluekey,ntopenkey,ntquerykey,ntqueryvaluekey,
ntsetvaluekey,ntterminateprocess,
消息hook,wh_msgfilter, wh_cbt
OnNtSetInformationFile fseek的實現
_CrtSetBreakAlloc