http://hi.baidu.com/shineastdh/blog/item/8808ad1b708df7d8ad6e75fa.html
AKLT反键盘记录及截屏测试
Anti-Keylogger Tester (AKLT) 是用来测试安全软件防御键盘记录的测试工具。
最新版的AKLT V3.0 提供了7种不同的方式,来监视和记录键盘输入。
根据Kaspersky Lab 的文章,目前,流行的键盘记录方式有三种:
Global Hook (66%)、Cyclical polling(29%)、Driver based(5%) 。
AKLT 提供了Global Hook 和 hookless/Cyclical polling 两类测试,覆盖了常见的95%的键盘记录方式。
可以有效的检测HIPS 在键盘记录方面的防御效果。
剩余5% 可以通过HIPS 或受限用户,阻止安装、加载驱动来实现保护。
此外,AKLT还模仿木马程序提供了2种截取屏幕测试。
AKLT 新增加了 GetRawInputData 测试(新测试只能用于XP/Vista,不需要.Net)
APT高级进程终止测试
APT(advanced process terminator)是一个利用各种方法来终止进程的工具,在DW非信任下运行APT然后尝试终止非信任区外的程序,通过此测试可以了解沙盘能否保护信任区的程序不被非信任区的程序终止。
roolback
AKLT反键盘记录及截屏测试
Desktop Object
同一个Desktop内的窗口是可以相互发消息的,为了防止恶意代码通过Windows消息的方式窃取其它进程的窗口内容,Chromium把Render进程放到了另一个Desktop上,这跟登录和系统服务都在另一个Desktop是一样的道理。
Sandboxie是一款专业的虚拟类软件,它的工作软件:通过重定向技术,把程序生成和修改的文件,定向到自身文件夹中。当然,这些数据的变更,包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据,属于驱动级别的保护。
如上次有人做过测试吧,这个东西不能防底层磁盘操作
云端已经有的:虚拟功能(金山虚拟文件系统),桌面图标功能,软件管理,在线下载
云端真正开发的:软件升级
云端计划中的:x64支持,云存储(金山快盘)
云端没有的:本地软件管理与云端软件管理相结合
报道:http://www.cnbeta.com/articles/116467.htm
而且已经把“云端”的概念加进去了叫“云安装”
云端问题
1。直接的7z文件.
2。如果已经存在目录,那么读写不回原来的地方
3。不安全,只是一个程序管理工具
他是对目录进行的监视,不是对程序,所以会产生一堆问题。
它的虚拟化工具倒是与VMWare的Thinapp有些相似。
试过了,把sandboxie的文件按照云端的目录格式重新排布一下,就可以用了。
两者都用了注册表配置文件技术(reg hive)。
但是发现云端和沙盒软件一样,都用了reg hive配置文件,这样有个致命的弱点:
virtual application
You're right Keefie, VirtualBox is a virtual machine application like VMware Workstation. It is a very good piece of software (and Open source) but doesn't do application virtualization like Thinapp. I'm quite surprised there isn't an open source (to my knowledge...) application virtualization app though..
云端执行
D:/Program Files/cloud/LongRAShell.exe C:/Program Files/WinRAR/WinRAR.exe C:/Program Files/WinRAR 1 781762AA362C58C2D24D55A4F50E810C3BE3D03E_0
hardlink
fsutil hardlink create <新文件名> <现有文件名>
BOOL CreateHardLink(
LPCTSTR lpFileName,
LPCTSTR lpExistingFileName,
LPSECURITY_ATTRIBUTES lpSecurityAttributes
);
前两个参数的意思就不用解释了,最后一个参数的用途暂时保留,必须为 NULL。
softlink ,目录链接,云端的实现方式很像这样
junction.exe dst src
看雪上有个ring3的沙盘 忘记是哪位牛人写的了
只需将MFC和VC的signatures加入到IDA中即可。
/Program Files/Microsoft Visual Studio/VC98/include
/Program Files/Microsoft Visual Studio 8/VC/include
hook以下的,可以控制软件截屏
NtGdiOpenDCW
NtGdiDeleteObjectApp
NtGdiBitBlt
NtGdiStretchBlt
NtUserPrintWindow
NtGdiDdLock
云端longradrv.sys修改了ssds的ntclose,ntcreatekey,ntdeletekey,ntdeletevaluekey,
ntenumeratekey,ntenumeratevaluekey,ntopenkey,ntquerykey,ntqueryvaluekey,
ntsetvaluekey,ntterminateprocess,
消息hook,wh_msgfilter, wh_cbt
OnNtSetInformationFile fseek的实现
_CrtSetBreakAlloc