当前位置: 首页 > news >正文

天琊超级进程监视器的应用试验(19)

实验目的
1、了解进程概念及其基本原理;

2、掌握天琊超级进程监视器的安装与使用。

预备知识
本实验要求实验者具备如下的相关知识。

      操作系统的安全配置是整个系统安全审计策略核心,其目的就是从系统根源构筑安全防护体系,通过用户的一系列设置,形成一整套有效的系统安全策略。

      经典的信息保密性安全模型Bell-LaPadula模型指出,进程是整个计算机系统的一个主体,它需要通过一定的安全等级来对客体发生作用。进程在一定条件下可以对诸如文件、数据库等客体进行操作。如果进程用作其他不法用途,将给系统带来重大危害。

      在现实生活当中,许多网络黑客都是通过种植“木马”的办法来达到破坏计算机系统和入侵的目的,而这些“木马”程序无一例外的是需要通过进程这一方式在机器上运行才能发挥作用的。另外,许多破坏程序和攻击手段都需要通过破坏目标计算机系统的合法进程尤其是重要系统进程,使得系统不能完成正常的工作甚至无法工作,从而达到摧毁目标计算机系统的目的。针对进程的不合法使用行为,进程监视类软件为用户提供了实时监控系统内进程活动的功能。本次试验所介绍的天琊超级进程监视器,它主要用于上网时监控系统内进程的活动,可以有效阻止病毒的后台运行,其主体核心就是监控“已经运行的程序去启动规则外的程序”这类行为。监控方式为设立白名单和黑名单。程序以默认设置运行后,一旦运行白名单内没有的程序,并且此程序在黑名单监控区内,那么监控器就会跳出提示,让用户做出对进程放行或者阻止其运行的选择。那么一般情况下,哪些进程适合放入白名单,又有哪些进程一定要放入黑名单阻止其运行,这就需要我们有一定的系统和反病毒基础才行。否则软件使用初期,可能会将一些危险的东西加入白名单内,导致阻拦病毒不足。

      Windows系统下面有几个程序是不适合加入白名单的,对于它们的进程行为,一定要对用户给出提示。

      %SystemRoot%\system32\cmd.exe

      %SystemRoot%\system32\Command.com

      %SystemRoot%\system32\Wscript.exe

      %SystemRoot%\system32\Cscript.exe

      %SystemRoot%\system32\mshta.exe

      %SystemRoot%\system32\rundll32.exe

      其中,cmd.exe是Windows 操作系统的命令行控制台程序。保护后,默认任意程序无法直接启动 cmd.exe,防止被恶意程序后台利用。

      Command.com是兼容 Windows 16 位的命令行处理器。保护后,默认任意程序无法直接启动 Command.com,阻止其被恶意程序利用。

      Wscript.exe是 Windows 系统的脚本解释器,用于执行 VBScript 和JScript脚本。恶意程序会利用 Wscript.exe 启动其它程序对系统进行破坏。保护后,默认任意程序无法直接启动 Wscript.exe,阻止其被恶意程序利用。

      Cscript.exe是 Windows 系统的脚本解释器,用于执行 VBScript 和JScript脚本。恶意程序会利用 Cscript.exe 启动其它程序对系统进行破坏。保护后,默认任意程序无法直接启动 Cscript.exe,阻止其被恶意程序利用。

      mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件,其中最典型的就是会被利用来执行一些恶意程序行为。保护后,默认任意程序无法直接启动 mshta.exe,阻止其被恶意程序利用。

      rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被广泛使用,而它本身也会被病毒后台广泛的用于启动加载病毒文件的运行。保护后,默认任意程序无法直接启动 rundll32.exe,阻止其被恶意程序利用。

实验环境
本地主机:Windows XP操作系统、天琊超级进程监视器程序。

实验内容和步骤
本实验分为两个任务:

任务一:对运行进程做四种方式的处理;

任务二:使用白名单/黑名单自定义监视策略。

准备工作
将软件压缩包解压缩。解压后有三个文件,SuperMonitor.exe是监控主程序,CH000003.sys是驱动文件,需要被主程序加载。Run.dat是数据文件,黑白名单以及一些设置都保存在这里。

任务一:对运行进程做四种方式的处理
      解压完毕后双击SuperMonitor.exe程序运行,程序启动后可在右下角状态栏看到程序运行图标。双击图标可打开程序主界面如下图所示:

     
      从上图可查看,主面板主要分为两部分,白名单和黑名单。白名单主要列出了监视器直接允许放行的程序路径或命令行。相反,黑名单列表则显示需要监控哪些路径/命令行的程序。程序运行后,原始默认是提示的,一旦系统运行了白名单内没有的程序,并且此程序是在黑名单监控列表内,那么监控器就会跳出提示,如下图:

    
      这时我们需要详细根据提示做出正确的处理,如果是你正在启动你自己的正常软件,那么可以选择“信任路径”项,这时候图中对应的“被启动进程路径”中的那个程序将被加入白名单允许运行,而“此程序欲启动下面程序”一栏标示的是欲启动“被启动进程路径”中的那个程序的原始程序,这个父进程是不在操作之列的。只是提示给你,让你知道什么程序欲启动图中所示的C:\Program Files\Java\jre7\bin\java.exe 这个程序而已。说明一下,提示窗口内四个项目的含义:

      仅允许启动本次——指仅允许当前提示中的进程行为一次,再次出现同样进程行为时,还会继续提示;

      信任被启动程序——指信任“启动进程”路径中显示的那个程序,并加入白名单,以后对同样进程行为不再提示和阻止;

      信任启动命令行——指仅信任命令行,并加入白名单,以后对同样进程行为不再提示和阻止;

      禁止启动并退出——指阻止进程行为。

任务二:使用白名单/黑名单自定义监视策略
      我们以rundll32.exe为例,介绍监视器的基本使用方式。Rundll32.exe是很多操作中需要启动它的。例如查看桌面右键属性、任务栏右下角调整时间,控制面板内大量项目的设置等等,都需要rundll32.exe的运行支持。我们查看程序默认设置情况下的白名单,发现一条命令行如下:

      “C:\WINDOWS\system32\rundll32.exe /d”C:\WINDOWS\system32\shell32.dll,Control_runDLL dest.cpl

      上面这个命令行是没有任何病毒或非正常程序调用的,它属于桌面进程的属性查看那一步操作的程序行为。我们将此命令行从白名单中删除:
   
      删掉之后,在桌面右键菜单查看属性,会看到程序跳出如下提示:

      从提示框中可看到rundll32.exe程序被启动,启动程序命令行内容即为刚才所删除的那条命令行信息。接下来选择信任启动命令行,该命令行被重新加入到白名单中。将启动命令行而不是rund32.exe程序添加到白名单,使我们既要监控器不影响查看桌面进程等单纯属于Windows自身操作的行为,也不需要担心rundll32.exe被木马病毒任意利用运行。从这一示例中可发现,灵活运用“信任命令行”操作,是监控器的核心之处。

      监控器主面板还提供了其它一些操作,方便我们对进程进行监控管理。如,对文件目录及其子目录的监控,假设想把“C:\Program Files”及其子目录下的所有进程加入白名单中,可以在主面板中点击“浏览目录”,选择目录“C:\Program Files”,操作如下图:


      同时选中“含子目录”选项,这时监视器就会放行“C:\Program Files”及其子目录下的所有程序:

相关文章:

天琊超级进程监视器的应用试验(19)

实验目的 1、了解进程概念及其基本原理; 2、掌握天琊超级进程监视器的安装与使用。预备知识 本实验要求实验者具备如下的相关知识。 操作系统的安全配置是整个系统安全审计策略核心,其目的就是从系统根源构筑安全防护体系,通过用户的一…...

使用 Pulumi 打造自己的多云管理平台

前言在公有云技术与产品飞速发展的时代,业务对于其自身的可用性提出了越来越高的要求,当跨区域容灾已经无法满足业务需求的情况下,我们通常会考虑多云部署我们的业务平台,以规避更大规模的风险。但在多云平台部署的架构下&#xf…...

什么是MyBatis?无论是基础教学还是技术精进,你都应该看这篇MyBatis

文章目录学习之前,跟你们说点事情,有助于你能快速看完文章一、先应用再学习,代码示例1. 第一个MyBatis程序2. MyBatis整合Spring3. SpringBoot整合MyBatis二、MyBatis整体流程,各组件的作用域和生命周期三、说说MyBatis-config.xm…...

【编程基础之Python】10、Python中的运算符

【编程基础之Python】10、Python中的运算符Python中的运算符算术运算符赋值运算符比较运算符逻辑运算符位运算符成员运算符身份运算符运算符优先级运算符总结Python中的运算符 Python是一门非常流行的编程语言,它支持各种运算符来执行各种操作。这篇文章将详细介绍…...

Android的基础介绍

一、Android介绍 Android是一种基于Linux的自由及开放源代码的操作系统,Android 分为四个层,从高层到低层分别是应用程序层、应用程序框架层、系统运行库层和Linux内核层。 Android 是Google开发的基于Linux平台的开源手机操作系统。它包括操作系统、用户界面和应用程序——…...

用户登录请求100w/每天, JVM如何调优

用户登录请求100w/每天, JVM如何调优 大概可以分为以下8个步骤。 Step1:新系统上线如何规划容量? 1.套路总结 任何新的业务系统在上线以前都需要去估算服务器配置和JVM的内存参数,这个容量与资源规划并不仅仅是系统架构师的随意估算的&am…...

C/C++每日一练(20230306)

目录 1. 判断素数的个数 ☆ 2. 分隔链表 ★★ 3. 数据流的中位数 ★★ 1. 判断素数的个数 在一个数组A中存放100个数据,用子函数判断该数组中哪些是素数,并统计该素数的个数,在主函数中输出该素数的个数。 代码: #includ…...

多线程的创建、Thread类、线程安全、同步、通信

目录 多线程的创建 方式一:继承Thread类 方式二:实现Runnable接口 方式三:JDK 5.0新增:实现Callable接口 Thread的常用方法 线程安全 线程安全问题是什么、发生的原因 线程安全问题案例模拟 线程同步 同步思想概述 方式…...

GraphPad Prism v9.5.1.733 科研绘图软件多语言

GraphPad Prism集生物统计、曲线拟合和科技绘图于一体,其所具有的功能均非常实用和精炼,包括了一些特色的功能,如ROC曲线分析、Bland-Altman分析等;曲线拟合功能是GraphPad Prism8 汉化版超越其他统计软体的制胜法宝,GraphPad Prism8 汉化版的线性/非线性拟合功能使用操作…...

基于intel soc+fpga智能驾驶舱和高级驾驶辅助系统软件设计(三)

虚拟化操作系统介绍 车载平台有逐渐融合的趋势,车载 SoC 的计算性能和应用快速增长,面临着多种应用在 多个显示子系统融合在一起的问题,这就要求平台运行多个操作系统。虚拟化(Virtualization) 技术飞速发展&#xff0…...

什么?年终奖多发1块钱竟要多缴9.6W的税

对于大多数的工薪阶级来说,目前现行的个人所得税适用于全年累计收入一次性税收优惠。 有可能有的人不理解一次性税收优惠是什么意思,所以这里我首先解释下什么是一次性税收优惠,然后在讲一下为什么明明公司多发了钱,到手反而会更…...

动态绑定右键菜单控件

一、动态绑定右键菜单控件 /// <summary> /// 通过递归获取执行控件 /// </summary> /// <typeparam name"T"></typeparam> /// <param name"c"></param> /// <pa…...

JavaScript基础三、数据类型

零、文章目录 文章地址 个人博客-CSDN地址&#xff1a;https://blog.csdn.net/liyou123456789个人博客-GiteePages&#xff1a;https://bluecusliyou.gitee.io/techlearn 代码仓库地址 Gitee&#xff1a;https://gitee.com/bluecusliyou/TechLearnGithub&#xff1a;https:…...

Python 随机漫步

目录 1. 创建 RandomWalk 类 2. 选择方向 3. 绘制随机漫步图 4. 总结 本篇博客将使用 Python 来 生成随机漫步数据&#xff0c;再使用 Matplotlib 库&#xff0c;将以引人注目的方式将这些数据呈现出来。 随机漫步 顾名思义就是随机走出的步伐&#xff0c;它是这样行…...

Spark SQL优化机制

Spark SQL优化机制Spark SQLCatalyst 优化器逻辑优化物理优化TungstenUnsafe RowWSCGRDD 缺点 : RDD的算子都是高阶函数 &#xff0c;Spark Core 不知函数内的操作&#xff0c;只能闭包形式发给 Executors&#xff0c; 无法优化 DataFrame 不同点&#xff1a; 数据的表示形式…...

十五、Spring中的八大模式

1 简单工厂模式 BeanFactory的getBean()方法&#xff0c;通过唯一标识来获取Bean对象。是典型的简单工厂模式&#xff08;静态工厂模式&#xff09;&#xff1b; 2 工厂方法模式 FactoryBean是典型的工厂方法模式。在配置文件中通过factory-method属性来指定工厂方法&#x…...

GrabCut算法、物体显著性检测

图割GraphCus算法。利用颜色、纹理等信息对GraphCut进行改进&#xff0c;形成效果更好的GrabCut算法。 对图像的目标物体和背景建立一个K维的全协方差高斯混合模型。 其中&#xff0c;单高斯模型的概率密度函数用公式表示为&#xff1a; 高斯混合模型可表示为n个单高斯模型的概…...

亚马逊、速卖通、lazada店铺一直不出单,没流量怎么办?

近几年&#xff0c;跨境电商入驻的卖家越来越多&#xff0c;平台的流量越来越分散&#xff0c;导致店铺没有流量没有订单的情况经常发生&#xff0c;因此卖家对店铺的优化尤为主要。 对于亚马逊卖家来说&#xff0c;几乎每天都会问虽然我把我的产品放在货架上&#xff0c;但没…...

深度剖析C语言符号篇

致前行的人&#xff1a; 人生像攀登一座山&#xff0c;而找寻出路&#xff0c;却是一种学习的过程&#xff0c;我们应当在这过程中&#xff0c;学习稳定冷静&#xff0c;学习如何从慌乱中找到生机。 目录 1.注释符号&#xff1a; 2.续接符和转义符&#xff1a; 3.回车与换行…...

【学习总结】ORBSLAM3使用自己相机数据

本文仅用于自己学习总结。本文档记录如何修改ORBSLAM3的接口&#xff0c;用自己的图片和数据。 单目视觉&#xff0c;无IMU&#xff0c;离线数据运行的配置过程 euroc_examples.sh 首先从euroc_examples.sh这个运行指令改。这个文件在最新版的代码中被删掉了&#xff0c;但通…...

装饰模式(Decorator Pattern)重构java邮件发奖系统实战

前言 现在我们有个如下的需求&#xff0c;设计一个邮件发奖的小系统&#xff0c; 需求 1.数据验证 → 2. 敏感信息加密 → 3. 日志记录 → 4. 实际发送邮件 装饰器模式&#xff08;Decorator Pattern&#xff09;允许向一个现有的对象添加新的功能&#xff0c;同时又不改变其…...

UE5 学习系列(三)创建和移动物体

这篇博客是该系列的第三篇&#xff0c;是在之前两篇博客的基础上展开&#xff0c;主要介绍如何在操作界面中创建和拖动物体&#xff0c;这篇博客跟随的视频链接如下&#xff1a; B 站视频&#xff1a;s03-创建和移动物体 如果你不打算开之前的博客并且对UE5 比较熟的话按照以…...

OkHttp 中实现断点续传 demo

在 OkHttp 中实现断点续传主要通过以下步骤完成&#xff0c;核心是利用 HTTP 协议的 Range 请求头指定下载范围&#xff1a; 实现原理 Range 请求头&#xff1a;向服务器请求文件的特定字节范围&#xff08;如 Range: bytes1024-&#xff09; 本地文件记录&#xff1a;保存已…...

ServerTrust 并非唯一

NSURLAuthenticationMethodServerTrust 只是 authenticationMethod 的冰山一角 要理解 NSURLAuthenticationMethodServerTrust, 首先要明白它只是 authenticationMethod 的选项之一, 并非唯一 1 先厘清概念 点说明authenticationMethodURLAuthenticationChallenge.protectionS…...

【AI学习】三、AI算法中的向量

在人工智能&#xff08;AI&#xff09;算法中&#xff0c;向量&#xff08;Vector&#xff09;是一种将现实世界中的数据&#xff08;如图像、文本、音频等&#xff09;转化为计算机可处理的数值型特征表示的工具。它是连接人类认知&#xff08;如语义、视觉特征&#xff09;与…...

土地利用/土地覆盖遥感解译与基于CLUE模型未来变化情景预测;从基础到高级,涵盖ArcGIS数据处理、ENVI遥感解译与CLUE模型情景模拟等

&#x1f50d; 土地利用/土地覆盖数据是生态、环境和气象等诸多领域模型的关键输入参数。通过遥感影像解译技术&#xff0c;可以精准获取历史或当前任何一个区域的土地利用/土地覆盖情况。这些数据不仅能够用于评估区域生态环境的变化趋势&#xff0c;还能有效评价重大生态工程…...

JDK 17 新特性

#JDK 17 新特性 /**************** 文本块 *****************/ python/scala中早就支持&#xff0c;不稀奇 String json “”" { “name”: “Java”, “version”: 17 } “”"; /**************** Switch 语句 -> 表达式 *****************/ 挺好的&#xff…...

爬虫基础学习day2

# 爬虫设计领域 工商&#xff1a;企查查、天眼查短视频&#xff1a;抖音、快手、西瓜 ---> 飞瓜电商&#xff1a;京东、淘宝、聚美优品、亚马逊 ---> 分析店铺经营决策标题、排名航空&#xff1a;抓取所有航空公司价格 ---> 去哪儿自媒体&#xff1a;采集自媒体数据进…...

tree 树组件大数据卡顿问题优化

问题背景 项目中有用到树组件用来做文件目录&#xff0c;但是由于这个树组件的节点越来越多&#xff0c;导致页面在滚动这个树组件的时候浏览器就很容易卡死。这种问题基本上都是因为dom节点太多&#xff0c;导致的浏览器卡顿&#xff0c;这里很明显就需要用到虚拟列表的技术&…...

Element Plus 表单(el-form)中关于正整数输入的校验规则

目录 1 单个正整数输入1.1 模板1.2 校验规则 2 两个正整数输入&#xff08;联动&#xff09;2.1 模板2.2 校验规则2.3 CSS 1 单个正整数输入 1.1 模板 <el-formref"formRef":model"formData":rules"formRules"label-width"150px"…...