天琊超级进程监视器的应用试验(19)
实验目的
1、了解进程概念及其基本原理;
2、掌握天琊超级进程监视器的安装与使用。
预备知识
本实验要求实验者具备如下的相关知识。
操作系统的安全配置是整个系统安全审计策略核心,其目的就是从系统根源构筑安全防护体系,通过用户的一系列设置,形成一整套有效的系统安全策略。
经典的信息保密性安全模型Bell-LaPadula模型指出,进程是整个计算机系统的一个主体,它需要通过一定的安全等级来对客体发生作用。进程在一定条件下可以对诸如文件、数据库等客体进行操作。如果进程用作其他不法用途,将给系统带来重大危害。
在现实生活当中,许多网络黑客都是通过种植“木马”的办法来达到破坏计算机系统和入侵的目的,而这些“木马”程序无一例外的是需要通过进程这一方式在机器上运行才能发挥作用的。另外,许多破坏程序和攻击手段都需要通过破坏目标计算机系统的合法进程尤其是重要系统进程,使得系统不能完成正常的工作甚至无法工作,从而达到摧毁目标计算机系统的目的。针对进程的不合法使用行为,进程监视类软件为用户提供了实时监控系统内进程活动的功能。本次试验所介绍的天琊超级进程监视器,它主要用于上网时监控系统内进程的活动,可以有效阻止病毒的后台运行,其主体核心就是监控“已经运行的程序去启动规则外的程序”这类行为。监控方式为设立白名单和黑名单。程序以默认设置运行后,一旦运行白名单内没有的程序,并且此程序在黑名单监控区内,那么监控器就会跳出提示,让用户做出对进程放行或者阻止其运行的选择。那么一般情况下,哪些进程适合放入白名单,又有哪些进程一定要放入黑名单阻止其运行,这就需要我们有一定的系统和反病毒基础才行。否则软件使用初期,可能会将一些危险的东西加入白名单内,导致阻拦病毒不足。
Windows系统下面有几个程序是不适合加入白名单的,对于它们的进程行为,一定要对用户给出提示。
%SystemRoot%\system32\cmd.exe
%SystemRoot%\system32\Command.com
%SystemRoot%\system32\Wscript.exe
%SystemRoot%\system32\Cscript.exe
%SystemRoot%\system32\mshta.exe
%SystemRoot%\system32\rundll32.exe
其中,cmd.exe是Windows 操作系统的命令行控制台程序。保护后,默认任意程序无法直接启动 cmd.exe,防止被恶意程序后台利用。
Command.com是兼容 Windows 16 位的命令行处理器。保护后,默认任意程序无法直接启动 Command.com,阻止其被恶意程序利用。
Wscript.exe是 Windows 系统的脚本解释器,用于执行 VBScript 和JScript脚本。恶意程序会利用 Wscript.exe 启动其它程序对系统进行破坏。保护后,默认任意程序无法直接启动 Wscript.exe,阻止其被恶意程序利用。
Cscript.exe是 Windows 系统的脚本解释器,用于执行 VBScript 和JScript脚本。恶意程序会利用 Cscript.exe 启动其它程序对系统进行破坏。保护后,默认任意程序无法直接启动 Cscript.exe,阻止其被恶意程序利用。
mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件,其中最典型的就是会被利用来执行一些恶意程序行为。保护后,默认任意程序无法直接启动 mshta.exe,阻止其被恶意程序利用。
rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被广泛使用,而它本身也会被病毒后台广泛的用于启动加载病毒文件的运行。保护后,默认任意程序无法直接启动 rundll32.exe,阻止其被恶意程序利用。
实验环境
本地主机:Windows XP操作系统、天琊超级进程监视器程序。
实验内容和步骤
本实验分为两个任务:
任务一:对运行进程做四种方式的处理;
任务二:使用白名单/黑名单自定义监视策略。
准备工作
将软件压缩包解压缩。解压后有三个文件,SuperMonitor.exe是监控主程序,CH000003.sys是驱动文件,需要被主程序加载。Run.dat是数据文件,黑白名单以及一些设置都保存在这里。
任务一:对运行进程做四种方式的处理
解压完毕后双击SuperMonitor.exe程序运行,程序启动后可在右下角状态栏看到程序运行图标。双击图标可打开程序主界面如下图所示:
从上图可查看,主面板主要分为两部分,白名单和黑名单。白名单主要列出了监视器直接允许放行的程序路径或命令行。相反,黑名单列表则显示需要监控哪些路径/命令行的程序。程序运行后,原始默认是提示的,一旦系统运行了白名单内没有的程序,并且此程序是在黑名单监控列表内,那么监控器就会跳出提示,如下图:
这时我们需要详细根据提示做出正确的处理,如果是你正在启动你自己的正常软件,那么可以选择“信任路径”项,这时候图中对应的“被启动进程路径”中的那个程序将被加入白名单允许运行,而“此程序欲启动下面程序”一栏标示的是欲启动“被启动进程路径”中的那个程序的原始程序,这个父进程是不在操作之列的。只是提示给你,让你知道什么程序欲启动图中所示的C:\Program Files\Java\jre7\bin\java.exe 这个程序而已。说明一下,提示窗口内四个项目的含义:
仅允许启动本次——指仅允许当前提示中的进程行为一次,再次出现同样进程行为时,还会继续提示;
信任被启动程序——指信任“启动进程”路径中显示的那个程序,并加入白名单,以后对同样进程行为不再提示和阻止;
信任启动命令行——指仅信任命令行,并加入白名单,以后对同样进程行为不再提示和阻止;
禁止启动并退出——指阻止进程行为。
任务二:使用白名单/黑名单自定义监视策略
我们以rundll32.exe为例,介绍监视器的基本使用方式。Rundll32.exe是很多操作中需要启动它的。例如查看桌面右键属性、任务栏右下角调整时间,控制面板内大量项目的设置等等,都需要rundll32.exe的运行支持。我们查看程序默认设置情况下的白名单,发现一条命令行如下:
“C:\WINDOWS\system32\rundll32.exe /d”C:\WINDOWS\system32\shell32.dll,Control_runDLL dest.cpl
上面这个命令行是没有任何病毒或非正常程序调用的,它属于桌面进程的属性查看那一步操作的程序行为。我们将此命令行从白名单中删除:
删掉之后,在桌面右键菜单查看属性,会看到程序跳出如下提示:
从提示框中可看到rundll32.exe程序被启动,启动程序命令行内容即为刚才所删除的那条命令行信息。接下来选择信任启动命令行,该命令行被重新加入到白名单中。将启动命令行而不是rund32.exe程序添加到白名单,使我们既要监控器不影响查看桌面进程等单纯属于Windows自身操作的行为,也不需要担心rundll32.exe被木马病毒任意利用运行。从这一示例中可发现,灵活运用“信任命令行”操作,是监控器的核心之处。
监控器主面板还提供了其它一些操作,方便我们对进程进行监控管理。如,对文件目录及其子目录的监控,假设想把“C:\Program Files”及其子目录下的所有进程加入白名单中,可以在主面板中点击“浏览目录”,选择目录“C:\Program Files”,操作如下图:
同时选中“含子目录”选项,这时监视器就会放行“C:\Program Files”及其子目录下的所有程序:
相关文章:
天琊超级进程监视器的应用试验(19)
实验目的 1、了解进程概念及其基本原理; 2、掌握天琊超级进程监视器的安装与使用。预备知识 本实验要求实验者具备如下的相关知识。 操作系统的安全配置是整个系统安全审计策略核心,其目的就是从系统根源构筑安全防护体系,通过用户的一…...
使用 Pulumi 打造自己的多云管理平台
前言在公有云技术与产品飞速发展的时代,业务对于其自身的可用性提出了越来越高的要求,当跨区域容灾已经无法满足业务需求的情况下,我们通常会考虑多云部署我们的业务平台,以规避更大规模的风险。但在多云平台部署的架构下…...
什么是MyBatis?无论是基础教学还是技术精进,你都应该看这篇MyBatis
文章目录学习之前,跟你们说点事情,有助于你能快速看完文章一、先应用再学习,代码示例1. 第一个MyBatis程序2. MyBatis整合Spring3. SpringBoot整合MyBatis二、MyBatis整体流程,各组件的作用域和生命周期三、说说MyBatis-config.xm…...
【编程基础之Python】10、Python中的运算符
【编程基础之Python】10、Python中的运算符Python中的运算符算术运算符赋值运算符比较运算符逻辑运算符位运算符成员运算符身份运算符运算符优先级运算符总结Python中的运算符 Python是一门非常流行的编程语言,它支持各种运算符来执行各种操作。这篇文章将详细介绍…...
Android的基础介绍
一、Android介绍 Android是一种基于Linux的自由及开放源代码的操作系统,Android 分为四个层,从高层到低层分别是应用程序层、应用程序框架层、系统运行库层和Linux内核层。 Android 是Google开发的基于Linux平台的开源手机操作系统。它包括操作系统、用户界面和应用程序——…...
用户登录请求100w/每天, JVM如何调优
用户登录请求100w/每天, JVM如何调优 大概可以分为以下8个步骤。 Step1:新系统上线如何规划容量? 1.套路总结 任何新的业务系统在上线以前都需要去估算服务器配置和JVM的内存参数,这个容量与资源规划并不仅仅是系统架构师的随意估算的&am…...
C/C++每日一练(20230306)
目录 1. 判断素数的个数 ☆ 2. 分隔链表 ★★ 3. 数据流的中位数 ★★ 1. 判断素数的个数 在一个数组A中存放100个数据,用子函数判断该数组中哪些是素数,并统计该素数的个数,在主函数中输出该素数的个数。 代码: #includ…...
多线程的创建、Thread类、线程安全、同步、通信
目录 多线程的创建 方式一:继承Thread类 方式二:实现Runnable接口 方式三:JDK 5.0新增:实现Callable接口 Thread的常用方法 线程安全 线程安全问题是什么、发生的原因 线程安全问题案例模拟 线程同步 同步思想概述 方式…...
GraphPad Prism v9.5.1.733 科研绘图软件多语言
GraphPad Prism集生物统计、曲线拟合和科技绘图于一体,其所具有的功能均非常实用和精炼,包括了一些特色的功能,如ROC曲线分析、Bland-Altman分析等;曲线拟合功能是GraphPad Prism8 汉化版超越其他统计软体的制胜法宝,GraphPad Prism8 汉化版的线性/非线性拟合功能使用操作…...
基于intel soc+fpga智能驾驶舱和高级驾驶辅助系统软件设计(三)
虚拟化操作系统介绍 车载平台有逐渐融合的趋势,车载 SoC 的计算性能和应用快速增长,面临着多种应用在 多个显示子系统融合在一起的问题,这就要求平台运行多个操作系统。虚拟化(Virtualization) 技术飞速发展࿰…...
什么?年终奖多发1块钱竟要多缴9.6W的税
对于大多数的工薪阶级来说,目前现行的个人所得税适用于全年累计收入一次性税收优惠。 有可能有的人不理解一次性税收优惠是什么意思,所以这里我首先解释下什么是一次性税收优惠,然后在讲一下为什么明明公司多发了钱,到手反而会更…...
动态绑定右键菜单控件
一、动态绑定右键菜单控件 /// <summary> /// 通过递归获取执行控件 /// </summary> /// <typeparam name"T"></typeparam> /// <param name"c"></param> /// <pa…...
JavaScript基础三、数据类型
零、文章目录 文章地址 个人博客-CSDN地址:https://blog.csdn.net/liyou123456789个人博客-GiteePages:https://bluecusliyou.gitee.io/techlearn 代码仓库地址 Gitee:https://gitee.com/bluecusliyou/TechLearnGithub:https:…...
Python 随机漫步
目录 1. 创建 RandomWalk 类 2. 选择方向 3. 绘制随机漫步图 4. 总结 本篇博客将使用 Python 来 生成随机漫步数据,再使用 Matplotlib 库,将以引人注目的方式将这些数据呈现出来。 随机漫步 顾名思义就是随机走出的步伐,它是这样行…...
Spark SQL优化机制
Spark SQL优化机制Spark SQLCatalyst 优化器逻辑优化物理优化TungstenUnsafe RowWSCGRDD 缺点 : RDD的算子都是高阶函数 ,Spark Core 不知函数内的操作,只能闭包形式发给 Executors, 无法优化 DataFrame 不同点: 数据的表示形式…...
十五、Spring中的八大模式
1 简单工厂模式 BeanFactory的getBean()方法,通过唯一标识来获取Bean对象。是典型的简单工厂模式(静态工厂模式); 2 工厂方法模式 FactoryBean是典型的工厂方法模式。在配置文件中通过factory-method属性来指定工厂方法&#x…...
GrabCut算法、物体显著性检测
图割GraphCus算法。利用颜色、纹理等信息对GraphCut进行改进,形成效果更好的GrabCut算法。 对图像的目标物体和背景建立一个K维的全协方差高斯混合模型。 其中,单高斯模型的概率密度函数用公式表示为: 高斯混合模型可表示为n个单高斯模型的概…...
亚马逊、速卖通、lazada店铺一直不出单,没流量怎么办?
近几年,跨境电商入驻的卖家越来越多,平台的流量越来越分散,导致店铺没有流量没有订单的情况经常发生,因此卖家对店铺的优化尤为主要。 对于亚马逊卖家来说,几乎每天都会问虽然我把我的产品放在货架上,但没…...
深度剖析C语言符号篇
致前行的人: 人生像攀登一座山,而找寻出路,却是一种学习的过程,我们应当在这过程中,学习稳定冷静,学习如何从慌乱中找到生机。 目录 1.注释符号: 2.续接符和转义符: 3.回车与换行…...
【学习总结】ORBSLAM3使用自己相机数据
本文仅用于自己学习总结。本文档记录如何修改ORBSLAM3的接口,用自己的图片和数据。 单目视觉,无IMU,离线数据运行的配置过程 euroc_examples.sh 首先从euroc_examples.sh这个运行指令改。这个文件在最新版的代码中被删掉了,但通…...
C++单例模式实现
目录 1.提出的需求 2.如何定义一个类,使得这个类最多只能创建一个对象? 3.代码 4.小结 C/CLinux服务器开发/后台架构师【零声教育】-学习视频教程-腾讯课堂 1.提出的需求 在架构设计时&am…...
343. 整数拆分
343. 整数拆分 给定一个正整数 n ,将其拆分为 k 个 正整数 的和( k > 2 ),并使这些整数的乘积最大化。 返回 你可以获得的最大乘积 。 示例 1: 输入: n 2 输出: 1 解释: 2 1 1, 1 1 1。示例 2: 输入: n 10 输出: 36…...
SCAFFOLD: Stochastic Controlled Averaging for Federated Learning学习
SCAFFOLD: Stochastic Controlled Averaging for Federated Learning学习背景贡献论文思想算法局部更新方式全局更新方式实验总结背景 传统的联邦学习在数据异构(non-iid)的场景中很容易产生“客户漂移”(client-drift )的现象,这会导致系统的收敛不稳定或者缓慢。…...
第十四届蓝桥杯三月真题刷题训练——第 3 天
目录 题目1:门牌制作 题目描述 运行限制 代码: 题目2:货物摆放_long 题目描述 答案提交 运行限制 代码: 题目3:跳跃_dp 题目描述 输入描述 输出描述 输入输出样例 运行限制 代码: 题目4&a…...
变量的四大存储类型static extern auto register
变量的四大存储类型static extern auto register外部变量(全局变量)extern----全局静态存储区定义 引用性声明❗易错点:函数之外未定义的变量一般是外部变量 extern全局变量 与 局部变量的区别‼️ 谨记:声明可以多次,…...
JavaScript基础五、语句
零、文章目录 文章地址 个人博客-CSDN地址:https://blog.csdn.net/liyou123456789个人博客-GiteePages:https://bluecusliyou.gitee.io/techlearn 代码仓库地址 Gitee:https://gitee.com/bluecusliyou/TechLearnGithub:https:…...
青龙面板399乐园
1.拉库 ql raw https://wjkjy.cn/wp-content/uploads/2023/03/1678104978-afaecb98a9df61e.js 2.抓包 7.26 399乐园 每天 七八毛左右 脚本已完成全部任务,自动提现 下载链接:https://3mao.lanzoul.com/izGDh084oogh 抓包链接 https://339.mhhuanyue.c…...
自动化注册组件
// components/index.js export default { install(app) { const req require.context(‘./’, false, /.vue$/) // console.log(req, ‘req’) req.keys().forEach((item) > { // console.log(item, ‘item’) const com req(item).default // console.log(com, ‘com’)…...
【JS代码优化一】分支优化篇
序:如何让代码看起来更优雅?代码是由文字堆叠起来的可以被机器执行的程序。它记载着相关信息(状态)、表达相关的情绪(函数),所以如何能够写出简洁、优雅、健壮、可维护性强的程序至关重要。本系…...
软件测试-接口测试-补充
文章目录 1.持续集成2. mock测试3.Fiddler 抓包工具3.1 弱网测试4. webservice1.持续集成 持续集成概念 重复执行开发提交代码并集成到主干; aim 加速产品迭代 好处 快速发现问题 避免分支大幅度偏离主干 加速产品发布 工具 git:源代码版本工具github:代码仓库jenkins:持续…...