浅析 NIS 的特点和适用用户群

flynroll

我用的是这样的设置，默认放行 NIS 绝对认识的软件。

lbcpc

诺顿的东西一个缺点

不能手动退出

tongkai1314

还是有待进一步学习

LjhEARTH

原帖由 flynroll 于 2007-11-22 23:38 发表
我用的是这样的设置，默认放行 NIS 绝对认识的软件。

我的是连下面那个自动为常见程序定制访问规则那个功能也关了。为什么呢？因为我觉得有些木马是通过注入IE、explorer等系统常见程序来达到目的的，或者有些恶意程序通过命令行在后台启动IE链接最新版木马，如果打开诺顿自动功能，就会允许它们访问网络而没有跳出提示框；如果关了自动识别功能，诺顿就会因为这些程序发生改变而跳出提示框由我们来决定，这样我们就可以阻止一些诺顿暂时杀不了的木马在自己的机器盗号。顺便说一下，像explorer这类程序，我是直接在防火墙设置禁止访问网络的。

flynroll

由于我对防火墙设置懂得的不多，所以想仔细交流一下。

如果关了自动识别功能，诺顿就会因为这些程序发生改变而跳出提示框由我们来决定

你这里这些程序发生改变是什么意思呢？是指可执行文件本身被修改了么？这个地方我没理解清楚。

LjhEARTH

原帖由 flynroll 于 2007-11-25 15:28 发表
由于我对防火墙设置懂得的不多，所以想仔细交流一下。


你这里这些程序发生改变是什么意思呢？是指可执行文件本身被修改了么？这个地方我没理解清楚。

可执行文件本身被修改是程序发生变化的一种，像威金病毒会修改寄可执行文件，当点击这些可执行文件的时候也等于运行威金病毒程序，病毒这样的行为会很明显容易被发现。像EXPLORER.EXE程序是系统核心文件，病毒企图感染时会被系统的核心文件保护功能所拒绝，所以为了提高隐蔽性很多木马病毒采用注入进程的方式让核心文件充当病毒的载体访问网络，这个也可以笼统的看作程序被改变的一种。所以，如果关掉诺顿的自动为常用程序建立规则功能的话，就会发现一种情况：明明早就手工设置了同意IE访问网络，系统也没有新打补丁，有时候防火墙却还会在打开IE的时候询问是否同意让IE访问，甚至没有打开IE的时候也跳出这样的提示，这时候就应该考虑一下是不是IE被非法注入，或者是否有可以程序通过命令行调用IE达到有害目的了。另外我说的我会手工禁止explorer、spoolsv之类的系统程序访问网络（诺顿的自动功能会默认同意它们访问网络），是因为这些程序也存在被木马有目的注入的可能，而且它们不访问网络也不影响一般的正常使用，所以禁止它们更好，就像在系统的服务中关闭一些用不到的服务一样。
    嘿嘿，打了这么多字，其实很多东西我也不懂，只是模模糊糊的了解一些皮毛。

LjhEARTH

举个例子，我的防火墙是设置这样的操作，里面很多诺顿默认放行的系统程序都被我选择阻止了。如果下面两个模块监控也选上的话，安全度真的是巩固得没法说，不过操作繁琐度也会恐怖得没法说，所以不选。

[ 本帖最后由 LjhEARTH 于 2007-11-25 20:41 编辑 ]

flynroll

明明早就手工设置了同意IE访问网络，系统也没有新打补丁，有时候防火墙却还会在打开IE的时候询问是否同意让IE访问，甚至没有打开IE的时候也跳出这样的提示

你的意思是你在手工建立规则后，软件被恶意注入，然后与手工建立的规则冲突，诺顿就会提示。但是如果打开诺顿的自动为常用程序建立规则功能，在自动规则已经建立的条件下，软件被注入，NIS 就会自动为新的访问请求建立规则？

LjhEARTH

是非常有这种可能，毕竟很多木马做出来之前考虑了免杀。
在去年用nis2007的时候，也像你现在一样的设置，曾经试了一个针对魔兽世界的盗号木马程序，通过注入EXPLORER进程作案，在诺顿病毒库无法识别的情况下，打开自动功能，结果木马成功连接网络，重新恢复系统，关闭自动功能，诺顿就会提示。其实当时一直有个疑问，就是既然诺顿无法识别该木马，即使是打开了自动功能，也应该有提示才对的。不过，疑问归疑问，总之这之后我就坚决关闭了自动功能，同时，能不访问网络的程序也尽量去禁止。
这是否是一个特例，我也不知道，毕竟咱也不是专业测试员。

flynroll

哦，居然有这种事情，我还真不知道，因为从来没有遇到过这种情况。

今天学习了，以后还得小心，看来诺顿在防泄露评比中排名靠后果然还是因为产品有些问题。