最后的防线----“防止未经授权的更改”

huai168an

【8月17号更新：加入了AV终结者的对抗试验。见病毒试验区域】
既然是世界三大杀软之一，那必有它的能力。而趋势现在加入的程序部分行为的提示也标志了主动防御的趋势。
此贴主要是对这个“防止未经授权的更改”功能做个大致的说明，看看它的作用，胡乱的发表下，见笑了啊。

此次使用的趋势版本是TIS2009 beta2（你看到第一幅图是beta3的，因为升级后截的图，还原后就没让他升级，并不影响），因为防火墙功能这次没用到，所以安装时没选择它。
环境：虚拟机    内存：256M     无其它杀软或安软，只有一个趋势（只有“防止未经授权的更改”功能）。
说明：因为09版是E文版，所以大多数的截图为E文，不过大体和08版一样的，对号就可以了。此次使用只是用到了“防止未经授权的更改” 其它的功能 如病毒监控 都关闭。

下面就看下它的界面和各个小项的功能


PS:界面真的很华丽，很好看

看看此功能的三项具体情况


此处与08版对比下


看下排除名单


已发现的更改


就从这几个界面来看，趋势的对程序的行为防范的范围还是小的，也涉及到了几个重要的区域。我留意了下一个小动作：就是09版中的设置项的action下拉菜单多了一个respond automatically （自动响应）选择，这里可以看出，趋势为普通用户着想，尽量的减少提示，不干预用户的正常使用系统。不错的

当然，这次我没有使用默认设置，而是全部为ask状态（关闭病毒监控）各个项的截图可以不是为ask，这个不要紧吧。




界面看过，下面就看下，09版的提示框是啥样

与08版对比下



当选择block后又有提示

08版


阻止后，09版比08版多一个按钮“unblack this program” 不阻止此程序。如果用户误点阻止，可以使用此功能来弥补错误。


介绍完以后，看看“设置”项中的各个功能作用吧   （以下出现的小段中文截图为08版对应的内容，比较“官方”点，呵呵）





对于启动没什么好说的，程序的启动通过注册表或菜单中的启动功能来开机加载，趋势对一般的注册表启动方法还是提示的

HOSTS文件在Windows98系统下该文件在Windows目录，在Windows2000/XP系统中位于C:\Winnt\System32\Drivers\Etc 目录中。该文件其实是一个纯文本的文件，用普通的文本编辑软件如记事本等都能打开。
Hosts文件的工作方式和具体作用
1、加快域名解析
对于要经常访问的网站，我们可以通过在Hosts中配置域名和IP的映射关系，这样当我们输入域名计算机就能很快解析出IP，而不用请求网络上的DNS服务器。
2、方便局域网用户
在很多单位的局域网中，会有服务器提供给用户使用。但由于局域网中一般很少架设DNS服务器，访问这些服务要输入难记的IP地址，对不少人来说相当麻烦。现在可以分别给这些服务器取个容易记住的名字，然后在Hosts中建立IP映射，这样以后访问的时候我们输入这个服务器的名字就行了。
3、屏蔽网站
现在有很多网站不经过用户同意就将各种各样的插件安装到你的计算机中，有些说不定就是木马或病毒。对于这些网站我们可以利用Hosts把该网站的域名映射到错误的IP或自己计算机的IP，这样就不用访问了。我们在Hosts写上以下内容：
127.0.0.1 # 要屏蔽的网站 A
0.0.0.0 # 要屏蔽的网站 B
这样，计算机解析域名 A和 B时，就解析到本机IP或错误的IP，达到了屏蔽网站A 和B的目的。
4、顺利连接系统
对于Lotus的服务器和一些数据库服务器，在访问时如果直接输入IP地址那是不能访问的，只能输入服务器名才能访问。那么我们配置好Hosts文件，这样输入服务器名就能顺利连接了。

以上就可以看出，通过恶意修改HOSTS文件，可以屏蔽一些正常的网站或特意的网站，或者恶意连接其它网站。这就是双刃剑，用好了很强大，用不好很邪恶。阻止HOSTS文件被恶意修改是必要的，是必须的。

DLL是Dynamic Link Library的缩写，意为动态链接库。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。一个应用程序可有多个DLL文件，一个DLL文件也可能被几个应用程序所共用，这样的DLL文件被称为共享DLL文件。
在系统启动的时候，一个EXE程序会将这个DLL加载至某些系统进程（如Explorer.exe）中运行。
这样一来，普通的进程管理器就很难发现这种病毒了，而且即使发现了也很难清除，
因为只要病毒寄生的进程不终止运行，那么这个DLL就不会在内存中卸载，
用户也就无法在资源管理器删除这个DLL文件.

很多病毒都会向注入explorer或IE注入DLL，可以达到启动、隐蔽、难以清除、发送私人信息等等功能。




插件，即英文的Plug-in，是一种程序。浏览器一般能够直接调用插件程序。插件安装后就成为浏览器的一部分，可以处理特定的文件。插件的使用，增强了浏览器处理不同Web文件的能力。
比如google工具条，百度工具等等




对IE设置的修改，一般来说，正常的程序不会修改。修改的多为流氓软件，修改首页、右击菜单啊等等
所以有修改IE设置的动作要注意，一般可以先阻止，然后看下日志等。
因为提示框没有给予足够多的信息，所以比较麻烦的。

Windows Shell 为 Windows 用户界面提供基本框架，用户最常体验到的 Windows Shell 形式是 Windows 桌面。除了桌面之外，Windows Shell 还提供了许多其他功能，使计算体验中的外观和感受始终保持一致。Windows Shell 可用于下列用途：通过 Windows 资源管理器查找文件和文件夹；通过“开始”菜单中的快捷方式提供启动应用程序的一致方式；通过桌面主题及颜色提供一致的界面。

修改文件类型，达到隐藏和启动目的




在任务管理器中可以看到很多是系统级别的进程，而很进程又和系统服务挂钩，一个进程可以有多个服务。系统启动时要自动加载服务来完成某个特定的功能，方便系统功能的使用，大多数表现为进程。有些恶意软件会自动加载自己的服务，而且在“管理工具-服务”中看不到，隐藏在后台，系统启动后就可以自动的启动自身，隐蔽性和危害性很高。对于一般的程序也不会自己创建一个服务。注意此项的动作是有必要的。




这个就不用多说了，系统自己的安全策略和防火墙的策略，普通用户设置的很少，如果设置的话也是通过其它途径来完成。病毒 木马设置此项多为了自动启动或设置其它策略来干扰用户的正常操作，增加自身的隐蔽和运作畅通。见此修改动作基本是阻止。


大部分正常程序的安装或运行，不会更改系统文件。往往是那些病毒 木马 流氓软件喜欢做的事，此处阻止没事（没找到样本，不好意思啊 ）。





这个也不多说了，涉及系统文件的相关问题，还是要注意的。



Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置，进行LSP“浏览器劫持”，所有与网络交换的信息都要通过这些间谍软件，从而使得它们可以监控使用者的信息LSP劫持，有很多人遇到过吧，有时网络上不了，都是流氓软件从中作梗。当然有些安软也会设置LSP的，如NOD32


好了，大体都说明了。注意的几个地方就是HOSTS、IE设置、新服务、修改系统文件、重复系统文件、安全策略、LSP。如果机器已经配置好，安装好了普通应用软件，这几项都可以设置为 always block，免提示，也较安全。其它的几个就可以默认设置了，自动询问较好，DLL加载就看自己习惯了，怕麻烦的话就设置成allow 吧。

对于提示的新的把握，如果不确定，可以先阻止，看程序运行是否异常，再看“已发现的更改”“日志”。特别要注意的是无publisher 的程序，这种程序一般的很可疑，最好先block。


病毒试验区
看看效果吧，大战机器狗

先看看机器狗的中毒表现特征


开始试验：运行后，出提示了，block之

重启后的userinit.exe，没有改变（看上面有无版本，有则正常，无则修改），进程中也无此名称的进程，在这两个地方，防范成功（其它地方还不知道，因为没装还原软件，估计也防住了，是估计哦）。
还有一点要注意的是，对于同名的文件要注意，不能迷糊，看看正常的explorer文件

与机器狗的那个有几分相似吧，所以要判断一个程序的正常与否，第一就要注意它的publisher，这是最直接的判断，点上面的文件名就可以查看文件属性，对于啥信息都没有的程序就要小心了。这个判断是个第一判断，可以判断个大概情况。

机器狗告一段落，下面看看感染型病毒-----脑残星

先看看中毒的情形


开始运行它，看到下面提示，阻止之，你会发现啥事没有


新增：对抗AV终结者

还是先看下中奖的情况


这里的进程截图错了，失误啊，应该和下面的一个进程，不好意思啊
屏蔽了很多的安全软件
还有其它动作，如更改隐藏文件属性，无法查看隐藏文件  就不帖了

运行AV，看到提示，阻止



都正常，很显然，趋势在第一步阻止了，XE没有继续进行
如果在看到提示框的第一步允许了（那个勾去掉点击），在下面的动作中选择阻止。重启后进程中无AV的两个进程，启动项也没有，不过已经屏蔽了那个安软软件的情况。虽然没完全防止，也削弱了AV的一半功力。

就举这三个例子吧。因为趋势的HIPS功能不多，不到位，很多很的动作并不监控，所以，效果是一般般的，不过在关键时候还是有作用的，既然给了这个功能，那就发挥它的用处吧。

以上病毒试验是在虚拟机中完成，请不要擅自实机试验，否则后果自负。

还有一处功能的利用，估计很多杀软也有此功能（个人猜测，具体不清，反正趋势可以）
利用趋势的“例外列表”来禁止一些系统自带的“危险”程序运行，如net.exe  telnet.exe  。。。。。
或许大家都知道了，我再啰嗦下：很多小程序都是在cmd.exe下完成，相当于以前的DOS命令（就是），各个功能的命令是方便了无界面的情况下的，完成一些界面上的功能，例如建立用户帐户、通过浏览器访问FTP服务器下载东西、关机、格式化硬盘，甚至定时功能。这些本地的操作或联网的操作都可以通过cmd窗口敲击对应程序的命令来完成。无论是本地操作还是联网操作，这些“危险”程序都可以成为恶软、黑客的帮凶（不要提防火墙，通过防火墙设置网络访问权限也可以，但从根本上解决问题岂不是更好？！），如果你不用，禁止它们是个不错的决定。

下面我就列出一小部分“危险”程序（有些程序会造成系统的不稳定），如果你不用，可以自己加上它们。还有很多就不一一说了，自己可以在system32目录下自己选择要禁止的程序（不确定的请先Google文件名，了解后在做决定）。（提示:如果在使用中有问题，及时修改）


看下效果

PS：弹出的错误框太。。。。。


好了，就说到这里了，趋势最后的防线是要自己来建筑，即使过了杀软，是否过了行为监控，还是要看你的把握了。

以上是鄙人对趋势使用的一点体会，如果有错误之处，还请各位大大指出，鄙人及时修正，谢谢。

[ 本帖最后由 huai168an 于 2008-8-17 17:25 编辑 ]

DistanceLove

额..沙发。。呼叫版主来加分。。

zwl2828

文章非常不错，希望有人来比较趋势和诺顿的此项功能。

xuange

感谢楼主，做了我一直想做而没有做的事情，呵呵，当版主以来送出的第一个技术值

Mr.Z

怎麼看起來都像Kaspersky

jiebozhang

等着看中文版的

英文的看着就是没汉字好看

水木

这篇文章真的不错，欢迎楼主常来呀

huai168an

想为趋势区加点人气 ，杀软不能只看查杀率

即使不是杀软，也可以做的很好

[ 本帖最后由 huai168an 于 2008-8-17 17:10 编辑 ]

水木

我很赞同，查杀率只是一个数字的变化！毕竟我们每天不会遇到那么多病毒


再次感谢您的支持

easybeing

趋势的新版最近不错