浅谈自我保护功能（修改）

huai168an

由于实验前对自我保护与access rights中的关系还没有深入理解，实验时出现了主观主义错误，自我保护的优于其它程序的权限，没有特殊情况，文章部分说明已改，实验的例子是失败的，误导大家是我的错，见笑了。
为了本本再少占点内存，将保护神卸载了 （有点洁癖 ）。为了保护部分程序，不得不开启相关程序的自我保护功能，搞了半天才算正常。不知道开启后的效果如何，作为最后的账号防线，很是担心。还要说下保险箱的功能，很多人认为保险箱无效果，对，如果系统被突破，保险箱也无能为力，可是它的存在必有道理，对于一般木马的侵入，hook挂钩、键盘记录，部分保险箱还是其一定的防护效果的。保险箱是最后一道防线也是有道理的。
我这里实验的几个程序为病毒常搞的，主要以IE、QQ为例子，来说下设置过程。这里引用了局长的图一张，打磨图两张。版权还是你们的
这里的毛豆模式建议先为学习模式，然后是PM模式（最高模式）。以下实验是在PM模式下进行。
建议fans不要默认规则，特别是D+功能，要进行相关设置才可以达到保护的效果（只是建议，不要拍我 ）
先看下自我保护的具体信息（第二张是局长的图，说的很详细了）：




下面看下IE6.0的全局规则中的hook规则（系统无毒状态，建议先是学习模式，自动生成规则。减少麻烦）

现在开启自我保护：

先看看启动看看IE效果：
你会发现无法启动IE，看日志：

通过日志，我们可以添加拦截的文件
为了搞清楚优先级，还要在搞搞看：
自我保护添加正常的dll文件


运行IE：

再来一个例子看看(自身保护中的hook不变):

运行IE


继续：


运行IE无异常
更改下自我保护：



我们看下，对于shell32.dll这个特殊的文件，IE的自身保护中的HOOK及时添加了shell32.dll，全局规则中如果没有允许shell32.dll，运行IE依然会有提示，这是因为Access right中的hook是对IE的权限设置，与protect setting中的保护设置没有关系，。对于msctf.dll貌似很多程序都会用到他，可以放到例外中。
我们再看下打磨的两张图：


多放3张没用的图：



打磨达人都说了，我也没什么可说的

我用的TW，所以把TW也设置一下




可以看出，因为TW是IE内核，还是要挂钩IE相关的dll，如读取cookies文件、对internet选项设置。添加到保护吧

再来看下QQ（这里的QQ不是官方原版，是deepinqq版，部分设置可能有差异）保护：


登陆QQ试试：

看日志：

又是msctf.dll的原因

好了，再关注下其它保护项，访问物理内存不需要添加相关程序，不过不敢保证QQ其它程序访问，到时要看日志，自行添加
windows messages：



process terminations：


总体，自身保护的优先级最高，或许对windows签名的dll会自动允许，不管全局规则中有无、allow or block保护中有的就会放行。这样的话，如果自己的误操作使木马运行，木马挂钩相关保护程序，即使允许了hook，自身保护中没有也是无法挂上的。保护作用很明显。
不仅仅是杀软，还有游戏、浏览器、即时通讯程序都可以设置相关的自身保护来抵御木马的侵犯。
感谢zoes兄的指点迷津：“Protection setting里的四项是用来防止“IE被其它软件进行内存数据存取、被其它软件插入代码/挂钩、。。。。”，是保护IE“不被别的程序怎样”。而Access rights里的类似的设置是“IE可以做什么或者能对别的程序怎么样。。。。”。是设定IE的权限的。”
所以对于shell32.dll这个文件对自我保护没有关系，只是IE的一些运行权限，自我保护的优先级还是最高的。

版主可以撤销加亮，扣除相关经验，希望不要更多的人被我的理解方法误导。
以上是个人临时使用心得，有错误之处请指正，我会及时调整相关设置。

[ 本帖最后由 huai168an 于 2008-6-22 18:03 编辑 ]

huai168an

沙发，继续

伯夷叔齐

原帖由 huai168an 于 2008-6-13 14:21 发表
沙发，继续

颠覆！！！COMODO需要高手们一次次对经典教程的“颠覆”。你这个帖还提醒了大家，IE等浏览器很重要，需要去PROTECTED SETTINGS里好好的设置一番。

总体看，自身保护的优先级很高，或许对windows签名的dll会自动允许，不管全局规则中有无、allow or block保护中有的就会放行，shell32.dll是个例外。这样的话，如果自己的误操作使木马运行，木马挂钩相关保护程序，及时允许了hook，自身保护中没有也是无法挂上的。保护作用很明显。

这句话有点经典，如果你不这么概括，我简直会疯掉。

通过此帖，希望掀起PROTECTED SETTINGS热。

[ 本帖最后由 伯夷叔齐 于 2008-6-13 15:15 编辑 ]

huai168an

呵呵，只是临时的设置下，可能还有很多地方没有注意，一起强大啊

pastport

我一般只开前两个
结束进程和发送消息
对浏览器保护来说
似乎不必要

huai168an

是的，这里只是个例子，全部说了而已，进程和消息可以保护杀软等。保护都是通用的，看个人了啊，保护了也没什么影响，万一出现情况了，就。。。 。开着也不坏事。


估计这个贴废了 ，都没人看，哎 。估计写的不好，要不就是我刚用自我保护，大家都会了，早说啊，我就不用费力发上来了只想和大家探讨下，第一次认真了设置自我保护，是不是我说的太多废话了啊，有什么不正确的地方大家指出啊，只想保护下TW和QQ号

[ 本帖最后由 huai168an 于 2008-6-13 18:46 编辑 ]

baerzake

好文，不过说老实话自我保护设置用处不大呵呵，设置好预置规则就OK了

huai168an

是啊，都是纯手工打造 ，毛豆很不人性化啊

baerzake

的确相当的不人性，很多小地方需要改进，这个没办法只有等官方更新

周勃

楼主辛苦了。顶一个。
不是写得不好，而是写得非常好。
不是没人看，而是阳春白雪，曲高和寡。
不是不实用，而是我不懂。
本人禁用D+，只图简单，以为只要墙够强大，别人不可以入侵，就够了，没有木马了，D+也就废了。
不想钻研，不想深究。