查看: 5277|回复: 14
收起左侧

[技术原创] 先发两章好了,顺便讨论下必要性

[复制链接]
依班娜
发表于 2015-6-28 17:05:43 | 显示全部楼层 |阅读模式
本帖最后由 依班娜 于 2015-6-28 17:07 编辑

看墨大的默认规则详解发现不少问题
有些规则没写明注册表保护的对象,有些规则的保护对象是墨大做的猜测,有些规则的保护对象的后缀等等也没有写完整
还有些解析上的翻译很有问题……
我目前是在xp 32bit系统上进行的测试(应该会和其他系统有部分出入,但是整体上还是可以参考的)用的是p5的版本
@柯林
但是鉴于目前P5貌似有点问题,那么我也不清楚到底是目前测接下来的默认规则还是等待下一个版本

还要测的内容包括语法规则等等(针对P5可能出现的情况)
下面先发两章吧,如果有必要就接着更新
下面都附上了墨大的详解,各位就不用去找了

规则名称:保护Internet Explorer收藏夹和设置

要包含的进程:
要阻止的进程:
要保护的注册表项目或注册表值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\**
要保护的注册表项或注册表值:值
要阻止的注册表操作:创建、写入、删除

要保护的注册表项目或注册表值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\**
(注册表的排除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\window\CurrentVersion\Internet Settings\5.0\Cache\**
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\**)
要保护的注册表项或注册表值:值
要阻止的注册表操作:创建、写入、删除

(注:1.不要看错,对那个5.0此项仍然是保护的,在此项中禁止操作值。2. 虽然是禁止修改,但是在咖啡的日志里看到的均是禁止创建,也就是说修改原来的相当于创建一个新的覆盖了原来的。还有,虽然阻止了对值的操作,但是对项没有保护,创建删除修改均可。)

要阻止的文件或文件夹名:C:\Documents and Settings\(你的用户) \Favorites\**.url
要禁止的文件操作:创建,修改,删除

个人观点:
此规则对IE的注册表项目的防护还是比较全面的,唯一美中不足的是没有对项的删除的防护,虽然删除项之后,非排除进程不能创建,而使用ie的时候又会重写,问题不是很大,但也许会对用户造成一定的困扰。
文件方面,此规则对IE程序本身没有防护,这是令人以外的,而对于收藏夹的文件夹下,可以创建除了url以外的任何文件,这或许也不是什么好事。
但此规则几乎没有什么风险,一定要开启。

附上墨大的详解:
  意图:该规则用于防止未经信任(排除)的任何进程,对Microsoft Internet Explorer的设置以及文件进行修改。众所周知的,一般恶意程序的活动特征都会修改网页浏览器的开始页面,以及添加其网址到收藏夹中。因此,该规则旨 在防止木马,广告程序以及间谍软件修改浏览器设置。
    风险:启用这条规则可谓百利而无一弊。


规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB


要包含的进程:
要排除的进程:
要保护的注册表项目或注册表值:
HKALL\**\AppID\**
HKALL\**\CLSID\**
HKALL\**\TYPELIB\**
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入 创建

CLSID是指windows系统对于不同的应用程序,文件类型,OLE对象,特殊文件夹以及各种系统组件分配一个唯一表示它的ID代码,用于对其身份的标示和与其他对象进行区分。

AppID—此关键字下的子关键字的作用是将某个APPID(应用程序ID)映射成某个远程服务器名称。分式COM(DCOM)将用到此关键字。
TypeLib—类型库关键字所保存的是关于接口成员函数所用参数的信息。另外还有其他一些信息。此关键字可以将一个LIBID映射成存储类型库的文件名称。
附上墨大的详解
   意图:该规则用于阻止新的 COM servers的安装和注册。某些广告以及间谍程序能够将自身添加到Microsoft Internet Explorer的COM 加载项中,或者附加到Microsoft Office。
    风险:如果你需要安装的软件中包含COM 加载项而又未在信任(排除)列表中,VSE将会自动拦截。某些常用的应用程序需要注册COM 加载项的,比如Macromedia Flash也可能被拦截。


规则名称:禁止所有程序从 Temp 文件夹运行文件

要包含的进程:
要排除的进程:
要阻止的文件或文件夹名:**\temp*\**(bat,exe,dll,scr,com,pif)
要阻止的文件操作:执行

个人观点:
1.        有时候一些用户需要的程序会在temp文件夹里释放一些dll然后再载入DLL,这个规则的开启会使这类的程序的功能受限。2.这个规则还有一点就是用户在任何位置创建一个名字为temp的文件都会列入规则的监控范围。3.要注意看是temp*。4。除了可执行外,有些比如txt的文件打开,vse都会触红,但是不影响txt的打开

附上墨大的解析
  意图:大部分电脑在真正感染病毒之前都需要人为地运行一次病毒。这种感染的途径是多种多样的,比如打开Email附件中的可执行文件,或者是从互联网上下载一个程序等等。具体地,譬如名为W32/Netsky.b@MM的病毒。
    一个可执行文件在被Windows运行之前都要先被保存在磁盘上。最普遍的方式是保存在user或者system账号的 Temp 文件夹下,再运行。
    该规则其中之一的目的在于不断地提醒用户:“切勿从email中打开附件”。而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑。比如老版 本的Outlook以及Internet Explorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著。
    风险:对于受该规则保护的可执行文件,你可以先将其复制到磁盘的其他位置然后再执行。所以该规则的负面影响是使用户原先简单的操作变得繁琐了。
    注意:启用该规则可能阻止某些程序的部分功能。


规则名称:禁止从 Temp 文件夹执行脚本

要包含的进程:
要排除的进程:
要阻止的文件或文件夹名:**\temp*\** (vbs,vbe,js)
要禁止的文件操作:执行

附上墨大的详解:
    意图:该规则阻止Windows 脚本执行器运行 Temp 文件夹中VBScript以及JavaScript文件。这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式。当然,某些合法的第三方应用程序的安装亦可能会被该规则所阻挡。
    风险:当邮件客户端下载脚本,然后通过合法的 Windows 程序(cscript或者wscript)来执行脚本的时候,该规则无法甄别该行为是否合法。因此某些合法的脚本也可能被阻挡。
柯林
发表于 2015-6-28 23:17:14 | 显示全部楼层
本帖最后由 柯林 于 2015-6-28 23:19 编辑

注册表规则,依据个人有限测试经验来看,一般都是项起作用,几乎不见值起作用,除非你写到具体的某一个值上,一般用通配符两星号的话,连项带值全包了

P5似乎与P4天壤之别,注册表路径里加星号通配符,有时候会失效,这个真的变啰嗦和头大了

禁止执行脚本,一般有两种方法,一个是直接禁运宿主程序,一个是禁止宿主程序去读例如你举的例子**\temp\**这个路径,至于禁止宿主程序从**\temp\**这个路径执行任何需要脚本宿主执行的东东,P4上是否有效不记得了,P5如果有效,应该等效于读(实际也应该是第一步读就拦截了,轮不到后面的执行)
依班娜
 楼主| 发表于 2015-6-29 10:51:50 | 显示全部楼层
柯林 发表于 2015-6-28 23:17
注册表规则,依据个人有限测试经验来看,一般都是项起作用,几乎不见值起作用,除非你写到具体的某一个值上 ...

P6八月份就出了?
依班娜
 楼主| 发表于 2015-6-29 10:52:51 | 显示全部楼层
柯林 发表于 2015-6-28 23:17
注册表规则,依据个人有限测试经验来看,一般都是项起作用,几乎不见值起作用,除非你写到具体的某一个值上 ...

第一条我发现都是值起作用,项可以直接删除,但是创建又是禁止的
柯林
发表于 2015-6-29 10:58:05 | 显示全部楼层
依班娜 发表于 2015-6-29 10:52
第一条我发现都是值起作用,项可以直接删除,但是创建又是禁止的

IE这个,默认就有的。
你再测下,项与值

P6那个本区不是有信息说8月份
依班娜
 楼主| 发表于 2015-6-29 11:04:18 | 显示全部楼层
柯林 发表于 2015-6-29 10:58
IE这个,默认就有的。
你再测下,项与值

我说的是默认规则的第一条
没理解你说的是什么“默认就有的”
柯林
发表于 2015-6-29 11:08:02 | 显示全部楼层
依班娜 发表于 2015-6-29 11:04
我说的是默认规则的第一条
没理解你说的是什么“默认就有的”

哦,就是默认自带的,通用标准保护里的保护IE设置项,包括了一部分你贴的那个注册表规则
462588842
发表于 2015-6-29 11:10:48 | 显示全部楼层
柯林 发表于 2015-6-29 11:08
哦,就是默认自带的,通用标准保护里的保护IE设置项,包括了一部分你贴的那个注册表规则

项里面是包含值 吧?
柯林
发表于 2015-6-29 11:15:01 | 显示全部楼层
462588842 发表于 2015-6-29 11:10
项里面是包含值 吧?

一般是的,项就是包括该项里面的所有东东,有时会产生误杀问题
值就是精确到某一项右面窗口里的某一个键值的数值及路径设置,属于精确打击。在具体到键值的时候,选成项会变成无效规则
依班娜
 楼主| 发表于 2015-6-29 11:50:37 | 显示全部楼层
本帖最后由 依班娜 于 2015-6-29 12:04 编辑
柯林 发表于 2015-6-29 11:15
一般是的,项就是包括该项里面的所有东东,有时会产生误杀问题
值就是精确到某一项右面窗口里的某一个键 ...


我要不仔细说说
其实是这样的:

在那个注册表中创建项,没问题,删除项,也没问题,比如删除main,然后创建main项都是没问题的,包括重命名等,然后就是值的问题,如果创建修改删除default_search_page这个值,就会触发规则
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 22:09 , Processed in 0.128106 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表