主动防御系统的开发日志
一个适用于Win10平台的主动防御系统,主要功能是做到
- 进程管理
- 文件管理
- 系统关键结构的检测
- 注册表的管理
- 注册表管理
- 服务和启动项的管理
类似于PcHunter和PowerTool的工具。
这个帖子会记录开发的进度,由于水平问题可能做不到PcHunter的水平,主要是做练习。
2016.5.3
项目开始
2016.5.4
编写进程管理模块,通过注册进程创建事件通知监控进程启动。通过DeviceIoControl的方式与应用层通信。在应用层询问用户拦截规则。
2016.5.5
编写进程目录、驱动模块目录功能。开始编写用户层代码。
2016.5.14
因为要为打CTF决赛备战,所以这个项目要停一段时间了
2016.5.29
突然意识到主防是一个需要严谨的态度去对待的东西,他不像应用层的那些东西。一个普通的应用程序,你出一个bug没有什么太大的危害,但是如果你的主防出了问题,小则系统崩溃,大则造成本地提权的漏洞,危害无穷。我本来的目是想做一个驱动级的监控程序、拦截程序。原理很简单,但是没想到实现上要考虑许多东西,比如会不会造成拒绝服务漏洞?在R0层面即使是dos也是很致命的。会不会我的检测机制被绕过?会不会逻辑有问题?等等,因为是一个安全类程序,要考虑的真的很多,而不只只是“实现功能”这么简单。而且我觉得最好的老师就是Windows的源码,安全程序内核模块不只是简单的驱动程序开发而且要利用Windows内核的特性,很多东西都要参考Windows原码去写。
2016.5.29
编写系统重要数据结构检测模块。
浙公网安备 33010602011771号