查看: 35619|回复: 53
收起左侧

[瑞星] 瑞星RIS2011 系统内核加固之自定义加强

  [复制链接]
change_018
发表于 2010-11-2 23:05:22 | 显示全部楼层 |阅读模式
本帖最后由 change_018 于 2010-11-5 15:51 编辑

瑞星是我接触到的第一款安全防护软件,相信很多人都是这样吧...
阔别多年近日相见仍泛带点点感情,不免记忆顿时涌上心头,回忆起使用的悲喜交加,有爱有恨...
最近发现小狮子蛮低调的,而且新版发布,用了一段时间,感觉还行,有进步,值得肯定。

内置的三个安全等级适用不同的使用者,分组很明了,本帖在系统内核加固的高级模板里添加了一些自定义加强型规则,不过只适用于XP系统
需要注意的是,在一个组里添加完毕后不会在其他组显示,所以决定了自己使用哪个安全等级后再在此组内添加,令人遗憾的是,瑞星貌似没有导出规则的功能,所以恢复起来稍微有些麻烦。
手动添加规则对于一些不满现状的用户可以提供一些额外的保护,但不可照搬不误,此帖仅供参考,交流学习。

注册表部分参考了一些其他人的规则(已标记选读),有些地方或许会有失妥当,所以对于不太了解的,不建议添加。
需要说明的是,注册表路径后可带“\”也可不带“\”,但文件目录最后一定要有“\”,否则规则无效。

=================================

1.文件访问规则之可疑目录下禁止创建危险文件

规则名称自定|只勾选创建|触发动作提示|规则描述自定

不包含子目录



参考路径:
C:\
C:\Documents and Settings\
C:\Documents and Settings\Administrator\
C:\Documents and Settings\Administrator\Local Settings\Application Data\
C:\Documents and Settings\All Users\
C:\Documents and Settings\All Users\Application Data\
C:\Documents and Settings\Administrator\Application Data\
C:\Program Files\
C:\Program Files\Common Files\
C:\Program Files\Common Files\Microsoft Shared\
C:\Program Files\xerox\
C:\Recycler\
C:\Recycled\
C:\System Volume Information\

包含子目录



参考路径:
C:\WINDOWS\Debug\
C:\WINDOWS\Driver Cache\
C:\WINDOWS\Downloaded Program Files\
C:\WINDOWS\SoftwareDistribution\
C:\WINDOWS\system\
C:\WINDOWS\system32\Com\
C:\WINDOWS\system32\IME\
C:\WINDOWS\system32\GroupPolicy\
C:\WINDOWS\system32\ShellExt\
C:\WINDOWS\system32\wbem\
C:\WINDOWS\system32\wins\
C:\WINDOWS\Temp\
C:\WINDOWS\web\

除了默认自带的目录规则,以上位置也是些值得注意到目录,一些恶意程序往往会在此启动,既然启动防护不太全面(毕竟智能型防护基本也不会拦截程序的启动,只掐断高危的操作),那么就直接禁止程序在高危目录里创建可疑程序。

2.文件访问规则之保护系统关键文件

规则名称自定|只勾选删除|触发动作提示|规则描述自定

不包含子目录



参考文件:
C:\boot.ini
C:\bootfont.bin
C:\CONFIG.SYS
C:\IO.SYS
C:\MSDOS.SYS
C:\WINDOWS\explorer.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\runll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\winlogon.exe

包含子目录



参考路径:
C:\WINDOWS\inf\
C:\WINDOWS\Installer\
C:\WINDOWS\system\
C:\WINDOWS\WinSxS\
C:\WINDOWS\system32\config\
C:\WINDOWS\system32\GroupPolicy\
C:\WINDOWS\system32\spool\

除了默认自带的保护规则,可以再添加一些根目录文件和system32下重要系统程序,尤其是像C:\WINDOWS\system32\config目录下存放的系统配置和注册表相关的地方,需要特别注意。

=================================

(此部分选读)

1.注册表访问之文件关联和策略相关

规则名称自定|勾选修改和删除|触发动作提示|规则描述自定

包含子键



参考键值:
HKEY_CLASSES_ROOT\.cmd\
HKEY_CLASSES_ROOT\cmdfile\shell\open\command\
HKEY_CLASSES_ROOT\.pif\
HKEY_CLASSES_ROOT\piffile\shell\open\command\
HKEY_CLASSES_ROOT\.reg\
HKEY_CLASSES_ROOT\regfile\shell\open\command\
HKEY_CLASSES_ROOT\.vbs\
HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
HKEY_CLASSES_ROOT\.hta\
HKEY_CLASSES_ROOT\htafile\shell\open\command\
HKEY_CLASSES_ROOT\.lnk\
HKEY_CLASSES_ROOT\lnkfile\shell\open\command\
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\

不包含子键



参考键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

添加些文件类型关联,系统策略相关,DCOM相关项等等。

2.注册表访问之可移动磁盘和关键键值相关

规则名称自定|勾选修改和创建|触发动作提示|规则描述自定

包含子键



参考键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\

不包含子键



参考键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Security center
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GinaDLL

添加一些文件夹属性相关,可移动磁盘自动运行,系统安全中心,还有一些会被病毒利用的键值。

=================================

先就说这么多吧,上面可能会有和自带规则重复的,为了避免冲突,发现了就及时删掉吧,这个帖子算做抛砖引玉的作用,再加上一些个人肤浅的见解,所以难免会有纰漏的地方,如果发现请及时批评指正,轻拍重拍都可以,本人衷心接受,感激涕零。

以上。

评分

参与人数 2经验 +30 人气 +1 收起 理由
江湖的fans + 30 版区有你更精彩: )
heaven888 + 1 版区有你更精彩: )

查看全部评分

heaven888
发表于 2010-11-2 23:10:13 | 显示全部楼层
没人气了,慢慢看
72380656
发表于 2010-11-2 23:23:28 | 显示全部楼层
可惜不能导入导出
尝微听几
头像被屏蔽
发表于 2010-11-2 23:29:15 | 显示全部楼层
系统内核加固到底是个什么东东啊?
change_018
 楼主| 发表于 2010-11-2 23:33:35 | 显示全部楼层
回复 4楼 尝微听几 的帖子

类似HIPS的东西 加强FD和RD的访问控制

PS 才发现被放到上面了...有点受宠若惊
hujiwa
头像被屏蔽
发表于 2010-11-3 00:43:05 | 显示全部楼层
本帖最后由 hujiwa 于 2010-11-3 00:44 编辑

我是不是眼睛瞎了,卡巴版主上rising区了。我用的第一个杀软是avira
hujiwa
头像被屏蔽
发表于 2010-11-3 00:54:22 | 显示全部楼层
本帖最后由 hujiwa 于 2010-11-3 01:04 编辑

mountpoint2什么时候会需要创建子键值而放行?
直接mountpoint2\*全部阻止不行么


change_018
 楼主| 发表于 2010-11-3 01:13:46 | 显示全部楼层
回复 7楼 hujiwa 的帖子

此路径下的信息主要存储了在打开我的电脑后能够看到的所有“对象”的信息,这些对象包括“盘符”,“网络映射盘”,“系统目录”等信息。

你在干净的虚拟机里查看下,然后安装虚拟光驱再看下,对比一下就出来了。

如果没有什么特殊操作,防U盘的情况下完全可以设置这个键为只读,但不允许写入了之后或许会对一些软件的安装造成影响,比如上面说的创建虚拟光驱盘符。
hujiwa
头像被屏蔽
发表于 2010-11-3 11:19:59 | 显示全部楼层
回复 8楼 change_018 的帖子

哦。是对虚拟光驱软件有影响对吧。

你规则询问好多啊,岂不是把rising当手动hips玩。到时候弹出来的对话框会不会把人烦死。
change_018
 楼主| 发表于 2010-11-3 12:01:20 | 显示全部楼层
回复 9楼 hujiwa 的帖子

设置拒绝了,出了问题怎么办,一切不都是从询问开始的吗,而且我说询问,别人也不一定就设置询问啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 18:12 , Processed in 0.127094 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表