在卡饭发的一个保护程序,大家挑战一下
在卡饭发的一个保护程序,大家挑战一下http://bbs.kafan.cn/viewthread.php?tid=689512&extra=&page=1卡饭没什么高手,大家有兴趣的可以挑战一下,看谁能结束被保护进程
程序见附件,说明和注意见帖子
只看楼主不看贴 感谢mj发帖,我把卡饭的帖子内容贴下,欢迎大家尝试.
最严格最强大的防护软件AresProtectionSystem1.0测试版
AresProtectionSystem(简称APS)是一个系统防护软件,目前先放出一个测试版给liangfangCN 做攻击测试,可能存在一定问题,欢迎测试发现。
APS会在运行后将系统所有新运行的程序隔离到一个独立的空间中,程序不能对现有系统做任何破坏、攻击。
APS采用的部分技术类似沙盘,但是APS同时具有沙盘和HIPS两种防护体系,而且由于APS采用的防御设计思路和常规的安全防御软件相反,因此比普通的沙盘、HIPS严格得多,同时还可以在很大程度上防御Windows内核0DAY漏洞的攻击(尤其是第三方驱动程序、除Windows内核(win32k/hal/ntos)外的Windows组件的漏洞),可以说是目前世界上最严格、最强大的防护系统,强度之高,可说超越目前任何的安全防御软件,而且极难被突破。
防护技术细节:
(1).RD/FD 全只读封锁,受限制的程序对文件系统、注册表只能读,不能写,目前受限制程序只能访问C盘和系统目录,不能访问其他任何目录
(2).UI隔离,使用UI隔离、防护,将受限制程序完全放入一个独立的UI空间中,不能对外做窗口攻击、信息窃取等,可以有效防止盗号程序、键盘记录器
(3).内核防御 开启APS保护后,一切内核攻击都将被拦截,除非突破(4)中的内核漏洞防御,攻击者不可能进入R0,即使攻击者使用非常特殊的方式加载内核驱动,APS也会使之无效
(4).内核漏洞防御 APS过滤了大量可能引发内核漏洞的函数,尽管APS不可能做到100%防御内核漏洞,但可以尽可能阻止绝大部分内核漏洞,目前版本的APS基本可以杜绝第三方驱动程序、非Windows内核(win32/hal/ntos)的Windows内核组件的漏洞
(5).进程保护 受限制的进程不可能以任何形式同任何不受限进程进行通讯,完全做到了进程间隔离,目前版本的APS中,进程除了可以通过ApiPort和csrss.exe做极有限的无害交互外,不能和不受限进程或系统进程做任何交互
(6).网络防护 目前APS开启后,受限制程序不能连接网络,也不能做任何和网络有关的操作
(7).关机保护,目前APS开启后,受限制程序将不能对系统做关闭、注销、重启等操作
当然,由于APS目前没有用户交互且防护极其严格,很多编写不规范的程序会出现功能上的问题,甚至完全无法运行,为了防止损坏你的数据,建议在虚拟机上运行本程序,出现问题时直接对虚拟机进行重启。现在的APS为了做攻击测试,因此对所有新创建进程都会被直接列入限制进程中,在以后的版本会加入排除。
安装指引:
Ares Protection System v1.0.0.1001 目前仅支持Windows XP
1.确保系统干净,不存在任何第三方非硬件内核驱动,例如虚拟光驱驱动、安全软件驱动、加密文件驱动等等,否则运行本系统可能蓝屏或者工作不正常。
可使用Rootkit Unhooker等工具检查,看有无SSDT HOOK/ShadowSSDT HOOK/KiFastCallEntry HOOK,如果没有就可以正常运行
攻击测试前,请保证系统已经安装了当前操作系统的全部补丁。
2.等待操作系统启动进入稳定状态(一分钟左右),运行AresProtections.exe,该程序接着会运行LowComp.exe,等着两个EXE正常运行并提示安装完成,如果有错误请联系我,最后程序会运行calc.exe,这个是攻击测试的标靶。
3.测试保护系统是否正常开启:运行任务管理器,看是否能结束任意一个进程,看“应用程序“栏是否能显示此前启动的任意进程,如果可以结束或显示,说明保护系统未正常开启,请联系我
4.攻击测试要求, 这个是给liangfangCN 的测试条件,非liangfangCN 可以无视。
(1).不能通过硬件方式从外部对待测试环境进行任何干扰,例如关机、插入新的设备,等等,可以用鼠标键盘操作复制测试程序到本地、运行本地测试程序和对其界面做相关操作,其他操作则不允许(例如利用鼠标控制已运行起来的不受限进程Explorer.exe来操作文件,模拟鼠标键盘不在此限制内)
(2).可以使用Windows内核漏洞对本保护系统进行攻击,但内核漏洞必须是Windows操作系统的,且是完全自行发现的,要满足如下要求
a.使用的内核0DAY不能是已经被公开修补或公开公布、半公开公布或者可以以简单方式(例如网络)获取的
b.不可使用本系统自身驱动的内核漏洞
(3).攻击目的要求是达到结束目标进程calc.exe, 关机或注销方式使进程退出也算成功,但不能以蓝屏方式结束进程。进程结束的达成条件为使用常规工具(例如任务管理器)不受干扰地检查进程列表,不存在原先的calc.exe进程
5.测试环境要求XP SP2/SP3,系统盘为NTFS分区,安系统正常服务、启动项安装,无其他第三方软件
6.先放出来1.0测试版,有任何程序问题也可以联系我,不过由于目前的系统限制非常严格,可能很多复杂软件不能正常运行。
联系方式:th_decoder@126.com 或通过卡饭论坛PM
晕饭卡 也破解 又一个精品。谢谢楼主,太谢谢了,支持 晕死 卡饭啊我看成饭卡了 看看就好 :eee美国航天局用的么这么牛? 感谢分享~~
下载下来看看 小研究下 呵呵 来膜拜mj大牛了