没什么,其实我也只是当作玩——玩着玩着整
给你个截图看下:
其实大体框架从第一个beta版起,已经定下了,剩下的工作,只是细化和优化而已
譬如以下这些,暂时拟好,不作添加,以后如果要加入的话,等最终一个基本的定型版本出来,绝大数程序可以安装卸载无障碍,再考虑是否加上去以打造极度精细版本。
【漏洞堵截】:由于安装程序可以创建可执行文件到windows和program files目录下
是否需要加上相应的保护措施?比如禁止创建假冒安装文件,或者禁止运行临时目录?
添加允许浏览器和下载工具可以创改exe的规则,对安装目录就有漏洞,为防万一,需要对安装目录设置一条保护规则,规定只有explorer和压缩文件可以改写
第一级过滤:全局禁止创建exe,系统补丁kb*.xe的文件名放行,是个漏洞,如果能用相对路径进一步限制,就更好了
没有禁止加驱,仅仅是禁止注册为服务那一条的防御。要不要删除自带排除名单,自己写?
==================================================================
【电子书规则】:
由于某些电子书会在windows目录里释放一个dll文件,要让它们可运行,需要在全局禁止改建dll文件和“通用最大保护-禁止在windows目录里创建新的可执行文件”添加排除
排除之后,就有漏洞,就意味着电子书目录里的exe文件可以改写任意地方的dll文件,要限制它只能改写于windows目录,就加以限制:
包含进程:*\**\*电子书*\**
排除进程:无排除
对象:**\windows\**\*
阻止的操作:创建、写入、删除
===================================================================
【安装缺口保护】:
禁止假冒安装文件exe
包含进程:*
排除进程:*\**\AppData\Local\Temp\*.tmp\*Setup.tmp, *\**\AppData\Local\Temp\*Install\**\*Inst*.exe, *\**\AppData\Local\Temp\*Install\**\*Setup*.exe, C:\Program Files (x86)\**\unins*.exe, C:\Program Files (x86)\**\updat*.exe, C:\Program Files\**\unins*.exe, C:\Program Files\**\updat*.exe, C:\Safe SetupFiles\*.exe, C:\windows\Microsoft.NET\Framework\v*\mscorsvw.exe, C:\windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\windows\system32\msiexec.exe, C:\windows\system32\wuauclt.exe,*\**\AppData\Roaming\**\uninst*.exe,
对象:**\AppData\Local\Temp\*.tmp\*.exe
阻止的操作:创建,写入
禁止假冒安装文件tmp
包含进程:*
排除进程:*\**\AppData\Local\Temp\*.tmp\*Setup.tmp, *\**\AppData\Local\Temp\*Install\**\*Inst*.exe, *\**\AppData\Local\Temp\*Install\**\*Setup*.exe, C:\Program Files (x86)\**\unins*.exe, C:\Program Files (x86)\**\updat*.exe, C:\Program Files\**\unins*.exe, C:\Program Files\**\updat*.exe, C:\Safe SetupFiles\*.exe, C:\windows\Microsoft.NET\Framework\v*\mscorsvw.exe, C:\windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\windows\system32\msiexec.exe, C:\windows\system32\wuauclt.exe,*\**\AppData\Roaming\**\uninst*.exe,
对象:**\AppData\Local\Temp\*.tmp\*.tmp
阻止的操作:创建,写入
禁止假冒安装文件_*tmp
包含进程:*
排除进程:*\**\AppData\Local\Temp\*.tmp\*Setup.tmp, *\**\AppData\Local\Temp\*Install\**\*Inst*.exe, *\**\AppData\Local\Temp\*Install\**\*Setup*.exe, C:\Program Files (x86)\**\unins*.exe, C:\Program Files (x86)\**\updat*.exe, C:\Program Files\**\unins*.exe, C:\Program Files\**\updat*.exe, C:\Safe SetupFiles\*.exe, C:\windows\Microsoft.NET\Framework\v*\mscorsvw.exe, C:\windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\windows\system32\msiexec.exe, C:\windows\system32\wuauclt.exe,*\**\AppData\Roaming\**\uninst*.exe,
对象:**\AppData\Local\Temp\_*.tmp
阻止的操作:创建,写入
安装源保护:
禁止改写Safe SetupFiles里的文件
包含进程:*
排除:explorer.exe,麦咖啡主要进程,压缩工具
对象:C:\Safe SetupFiles\**
阻止的操作:创建,写入,删除
其他(略)...............................
|