炎刃主动防御系统

最新推荐文章于 2024-05-28 09:18:21 发布
最新推荐文章于 2024-05-28 09:18:21 发布 · 224 阅读 · 0
文章标签:

#防火墙 #编程 #多线程 #Blog

本文介绍了作者使用SSDT系统服务描述表HOOK内核函数的方法,实现了一个简单的主动防御系统。该系统可以监控进程、注册表及文件创建等活动,旨在提供基本的安全防护。

标 题: 【原创】炎刃主动防御系统

作 者: cn_kevin
时 间: 2010-12-21

blog : http://cn-kevin.iteye.com

 

    最近有时间研究了下驱动,就想写个简单的主动防御系统练练手,其实驱动程序跟其他程序一样,并不是非常复杂,而且相当来说还比较简单且容易理解,主要是微软不公开内核函数的文档,内核层异常就会出现华丽的蓝屏保护,造成了驱动编程难的假象。所以我们只能依靠网上一些组织反汇编并且公布出来的函数文档或自己动手反汇编,当然你要有足够的时间。

 

    本程序采用了SSDT系统服务描述表HOOK内核函数,其实就是改内核函数的指针。

ring3与ring0层也就是应用程序与驱动程序的通信是采用物理内存映射+事件同步+多线程处理的,目前只实现了进程监控,注册表监控,文件创建监控,内核驱动监控,剩下两个端口bind与connect本来也想实现的,后来发现他们是其他驱动程序的模块,得通过TDI写过滤驱动来实现,没文档,网上有个开源的防火墙就是用TDI技术,有时间下过来看看。运行时库忘记传上来了,杯具

 

 

 

 

攻守一体,酣畅淋漓——分析《只狼》的战斗系统
LIGOBEE的博客
07-22 3953
只狼》作为FromSoftware与2019年发行的一款ACT类型游戏,秉承了魂类游戏高操作难度、碎片化剧情叙事等特点,凭借其优异的游戏玩法、美术风格和音乐,斩获了2019TGA年度最佳游戏奖。本文就来深度分析一下《只狼》中的战斗系统。...
小小十字花,强大战力:一文读懂萝卜硫苷与萝卜硫素
最新发布
wolf800的博客
10-10 822
萝卜硫苷(glucoraphanin)分类:属于“芥子油苷”(硫代葡萄糖苷,glucosinolates)家族。特点:化学上稳定,味道不明显;存在于西兰花、球芽甘蓝、甘蓝及其中的芽(sprouts)中,尤其以西兰花芽含量较高。本体并不主动“发挥作用”,需要被激活。萝卜硫素(sulforaphane,SFN)分类:异硫氰酸酯(isothiocyanate)。特点:高度活泼的电亲试剂,易与蛋白质半胱氨酸位点反应;真正被人体吸收、参与生物作用的是它。
主动防御 源码
08-24
主动防御 源码
一个不错的主动防御软件源码
04-26
一个非常不错的主动防御源码,效果蛮好,C++8.0编写
Windows驱动级云安全主动防御系统
demongwc的博客
07-23 838
1 使用说明 本系统分成四个模块,包含一个应用层可执行文件(.exe),四个内核层驱动(.sys),一个规则库数据库文件(.mdb),请保证六个文件在同一目录。 1.1 安装服务与启动监控 程序不需要安装,双击即可打开可执行文件。打开后,如果需要启动服务,请点击“安装服务”,请切换至“主要”标签页,接着“启动进程监控”、“启动注册表监控”、“启动文件监控”、“启动内存加载监控”,程序开始拦截...
HIPS主机入侵防御系统 开源版
01-24
HIPS主机入侵防御系统 开源版 主机入侵防御系统
肿瘤免疫逃逸
weixin_53637133的博客
05-28 1384
肿瘤免疫逃逸
卓然驱动级云安全主动防御系统
06-12
金山卫士开源了,不过有关黑客攻防的部分仍然处于闭源状态,主动防御在驱动级如何实现,学习卓然驱动级主动防御系统源代码可以揭开这一迷惑
卓然主动防御模块源码,VC 驱动级云安全实例.rar
07-09
卓然主动防御系统分成四个模块,包含一个应用层可执行文件(.exe),四个内核层驱动(.sys),一个规则库数据库文件(.mdb),请保证六个文件在同一目录。应用层采用Visual Studio 2008(C )开发,驱动层开发环境为WDK 6001.18002、Notepad ,测试环境为VMware 6.0、Windows Xp Sp3。 开发目的 系统特性: 一. 使用RootiKit技术,精确拦截木马,曝光恶意行为 二. 提供详细行为描述信息,帮助用户判断 三. 云安全概念融入,精确判断文件安全级别 四. 支持白名单、黑名单,引入云规则,减少提醒 五. 多模块相互配合,将木马及其衍生物一网打尽 系统原理: 一. Hook SSDT 二.监视进程创建和销毁原理 三.监视注册表修改/创建原理 三.监视文件修改/创建原理 四.内存映射监控原理 五.云安全模块原理 六.规则动态加载原理 在云安全模块开启的情况下,本系统会自己向服务器验证加载进入内存的文件信息,与其它模块相互配合,可将病毒及期衍生物一网打荆 在 Windows NT 下,用户模式(User mode)的所有调用,如Kernel32.dll,User32.dll, Advapi32.dll等提供的API,最终都封装在Ntdll.dll中,然后通过Int 2E或SYSENTER进入到内核模式,通过服务ID,在System Service Dispatcher Table中分派系统函数。这些本地系统服务的地址在内核结构中称为系统服务调度表(System Service Dispatch Table,SSDT)中列出,该表可以基于系统调用编号进行索引,以便定位函数的内存地址。下图是Windows NT系列操作系统的体系结构,系统服务调用只是一个接口,它提供了将用户模式下的请求转发到Windows 2000内核的功能,并引发处理器模式的切换。在用户看来,系统服务调用接口就是Windows内核组件功能实现对外的一个界面。系统服务调用接口定义了Windows内核提供的大量服务。
系统注册表,进程启动,驱动加载,过主动防御源代
11-13
一个实现系统注册表,进程启动和驱动加载的主动防御源代
大数据时代网络安全管理现状及主动防御系统.docx
08-28
大数据时代网络安全的挑战与主动防御系统的构建 随着信息技术的迅猛发展,大数据时代已经到来,随之而来的网络安全威胁也日益严峻。传统的网络安全措施已难以应对黑客攻击的多变形式和日益智能化的病毒、木马。在此...
一种基于无线网络的动态主动防御系统设计方法.zip
08-20
一种基于无线网络的动态主动防御系统设计方法PDF,一种基于无线网络旳动态积极防御系统设计措施 摘要:伴随无线网络旳应用程度旳深入,随之引起旳安全问题已经成为现代网络安全研究旳一种重要领域。本文从无线网络...
windows主动防御多种实现思路
weixin_34199405的博客
03-04 437
思路1 堵进程方式 就是不管什么先给你挂起来 然后再交给用户是否放行思路2 事件方式 用户投俩个事件下去 然后用户开个线程 等待驱动去设置那个事件驱动同样开线程等待用户去设置另外一个事件https://blog.youkuaiyun.com/sonsie007/article/details/38356961https://www.write-bug.com/article/1550.html思路 1 2案例...
主动防御简述
热门推荐
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
06-29 1万+
主动防御一、定义二、主动防御和被动防御的比较三、主动防御的方法四、主动防御的作用五、主动防御带来的隐患六、关于主动防御中防守反击的建议七、主动防御在国内外的发展八、总结 主动防御可以指军事或网络安全领域中的防御战略。在网络安全领域,主动防御也称为Active Cyber Defense,主动防御是与被动防御相对应的概念。 一、定义 主动防御是在入侵行为对计算机系统造成恶劣影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险的安全措施。 主动防御也是一种变相的攻击型安全措施(
linux主机防御ids 常用开源工具
追风筝的猪
09-22 3816
,,ExecShield,Openwall,selinux,apparmor 系统防御方面的开源软件主机防御工具验证系统Pam:几乎在所有的发行版上默认安装Opie内核安全Grsecurity:专注于内核的安全,给内核提供了很多安全补丁ExecShield:设置不可执行的标志位(现代的x64硬件携带的,就可以不用软件了,x86是不带的)Linux Intrusion Detection Syste
深入解析主动防御系统代码绕过技术
描述中提到的“过主动防御系统代码”是指用于绕过或欺骗主动防御系统的代码。主动防御系统是一种安全防护措施,它不仅检测已知的恶意行为,还能检测出异常行为模式,并采取行动阻止这些行为。这通常包括入侵检测系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值