对防IFEO劫持规则的再讨论，兼论访问保护语法中的*和**的区别

显示全部楼层 · 发表于 2009-11-29 14:33:35

凡事均有缘由，开本帖的缘由是对于这个贴的继续。

可否用设置注册表IFEO项权限为只读的办法解决IFEO劫持？
http://bbs.kafan.cn/thread-599511-1-1.html

好吧，其实更确切的说，是对dave_c 这个贴的进一步讨论。

我写的防止IFEO劫持的规则作者：dave_c
http://bbs.kafan.cn/viewthread.php?tid=94095&highlight=IFEO%2B%BD%D9%B3%D6

但是那个老贴已经不能回了。所以在此处另开一贴。

阅读说明：
1 注册表Image File Execution Options项简称为IFEO项
2 下文提到的对值的修改包括修改值的名称和修改值的数据。
3 本文里测试用例的选取是粗略的，如果想要弄较为全面的测试用例。。

。那是会死人的。。
   so，大家明白这个意思就好。。。。。
4  相对重要的地方都已用红色标出。
5  环境，xp/sp3，咖啡VSE版本8.7i。
6  提示：想要实验的筒子们注意了：机器中装有360一定要在丫的“实时保护”—>“设置”—>“保
护 360安全卫士”中选择“临时关闭自我保护”，并退出360安全卫士，否则无法对IFEO进行读写操
作。

×××××××××××××××××××我是过程开始的分割线××××××××××××××××××

过程如下：
首先，使用语法**

1
规则名称：防IFEO劫持

要包含的进程：*
要排除的进程：留空
要保护的注册表项或值：
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**

要保护的注册表项或注册表值：项

要阻止的注册表操作：
向项或值中写入
创建项或值

实测结果：
1  在IFEO项下新建项：失败，VSE报警。
2  在IFEO项下新建/修改值：失败，VSE报警，阻止创建。
3  对IFEO项改名：成功。

      (说明：1 改名成功，但在改回原名时会遭规则阻止。
                  2 若在“要阻止的注册表操项”中选择“删除项或值”则改名失败，VSE报警，报阻止删除)

4  在IFEO已有的子项a下新建项：失败，VSE报警。
5  在IFEO已有的子项a下新建/修改值：失败，VSE报警。
6  对IFEO已有的子项a改名：失败，VSE报警。(阻止创建)

7  在IFEO下已有子项a的子项aa下新建项：失败，VSE报警。
8  在IFEO下已有子项a的子项aa下新建/修改值：失败，VSE报警。
9  对IFEO下已有子项a的子项aa改名：失败，VSE报警。(阻止创建)

2

要保护的注册表项或值：
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**

要保护的注册表项或注册表值：值

要阻止的注册表操作：
向项或值中写入
创建项或值

实测结果：
1  在IFEO项下新建项：成功。
2  对IFEO项改名：成功。
   再次改回原名，成功，但其下原有值以及各子项的值均被规则阻止创建，只保留一个名称为“
   默认”的无内容字符串。

Orz。。。。

3  在IFEO项下新建/修改值：失败，VSE报警。

4  在IFEO已有子项a下新建项：成功。
5  对IFEO已有的子项a改名：成功。
6  在IFEO已有子项a下新建/修改值：失败，VSE报警。

7  在IFEO下已有子项a的子项aa下新建项：成功。
8  对IFEO下已有子项a的子项aa改名：成功。
9  在IFEO下已有子项a的子项aa下新建/修改值：失败，VSE报警。

**************************************************************************
下面用语法 *
3
要保护的注册表项或值：
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/*

要保护的注册表项或注册表值：项

要阻止的注册表操作：
向项或值中写入
创建项或值

实测结果：
1 在IFEO项下新建项：失败，VSE报警。
2 对IFEO项改名：成功，
      改回原名，成功，但仅保留IFEO项下的值，IFEO 的所有子项均被规则阻止创建，VSE报警。子
      项的值自然也不会被保留。
3 在IFEO项下新建/修改值：失败，VSE报警。

4 在IFEO已有子项a下新建项：成功。
5 在IFEO已有子项a下新建/修改值：失败，VSE报警。
6 对IFEO下已有的子项a改名：失败，VSE报警。
         注：若保护选择中选择禁止“删除项或值”，并删除子项a，会提示无法删除。
         但是。。。[:08:] 。一件很寒的事出现了：由于语法用的是*，所以该条规则仅仅只能保护IFEO
         项的子项，比如子项a，而不能保护IFEO子项的子项，即子项a的子项aa；所以虽然无法删除子项a
         及其值，但子项a下的所有的子项aa及其值均被操作删除。Orz

7 对IFEO下已有的子项a的子项aa改名：成功。
8 对IFEO下已有的子项a的子项aa改名：成功。
9 在IFEO下已有的子项a的子项aa下新建/修改值：成功。

讨论：
由此看来，语法* 仅仅只能保护IFEO及其子项a，对子项a的子项aa则无能为力。
而官方帮助文件对于**的定义是：包含双星号 (**)，表示没有或有多个任意字符（包含反斜杠）。
显然用**不但保护了IFEO及其子项，也保护了IFEO子项的子项的子项的子项的子项的子项的子
项的子项的子项的子项的子项的子项的子项的子项的子项的子项的子项的子项的子项的子项的子项的子项的子项。。。。。。。呃。。各位抱歉，这不是回声，其实是卡带了~~ Orz。

4

要保护的注册表项或值：
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/*

要保护的注册表项或注册表值：值

要阻止的注册表操作：
向项或值中写入
创建项或值

实测结果：
1 在IFEO项下新建项：成功。
2 对IFEO项改名：成功。
      改回原名，成功，但 IFEO项下的值被规则阻止，报阻止创建。自然也就没有了。
      但这个操作对IFEO的子项a及其子项aa所有的值则无碍。
3 在IFEO项下新建值：失败，VSE报警。

4 在IFEO已有子项a下新建项：成功。
5 在IFEO已有子项a下新建/修改值：成功。
6 对IFEO下已有的子项a改名：成功。

7 对IFEO下已有的子项a的子项aa改名：成功。
8 对IFEO下已有的子项a的子项aa改名：成功。
9 在IFEO下已有的子项a的子项aa下新建/修改值：成功。

说明：*语法配上仅仅保护值，保护效果相当的弱。

×××××××××××××××××××我是过程结束的分割线××××××××××××××××××

结论：

从以上4个过程的实测结果来看，如需彻底保护注册表IFEO项：即包括IFEO的子项以及子项的子项和各项内所有的值。

那么：
1 语法应该用“**” ，而不是“*”
2 只保护注册表的值是不够的，应选择保护项。
3 对注册表的三种操作都阻止才能对IFEO做全面保护

也就是说完整的防止IFEO劫持的规则宜写为：

规则名称：防IFEO劫持

要包含的进程：*

要排除的进程：留空

要保护的注册表项或值：
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**

要保护的注册表项或注册表值：项

要阻止的注册表操作：
向项或值中写入
创建项或值
删除项或值

写到这里，
我不禁举起左臂高呼，毛豆万岁！

[:08:] 呃。。。。好吧，这是McAfee区，于是我举起右臂继续高呼：咖啡VSE满塞~~~

本口水帖结束，大家拍砖：轻拍轻拍轻拍轻拍轻拍轻拍轻拍——这次绝不是卡带。。。

。。。

[ 本帖最后由 popfish 于 2009-11-29 14:38 编辑 ]

显示全部楼层 · 发表于 2009-11-29 14:44:49

结论是什么？

显示全部楼层 · 发表于 2009-11-29 15:52:00

版主的规则里面也有有两条规则专门保护注册表的值和项，不过是注册表的全部。

显示全部楼层 · 发表于 2009-11-29 16:35:23

迎冬版规则就是“**”，而且保护的是项，也阻止删除~

显示全部楼层 · 发表于 2009-11-29 16:39:14

我去试试。这应该是防止映像劫持的规则吧？好像在麦粉丝看到过相关的帖子

显示全部楼层 · 发表于 2009-11-29 17:25:59

原帖由 lf968 于 2009-11-29 14:44 发表
结论是什么？

请在本帖Ctrl+F 搜索如下字段

“从以上4个过程的实测结果来看，如需彻底保护注册表IFEO项：”

搜索项不包括引号。

显示全部楼层 · 发表于 2009-11-29 20:58:08

这条规则一开始就很明确的嘛～～～

[讨论] 对防IFEO劫持规则的再讨论，兼论访问保护语法中的*和**的区别