搜索
查看: 16492|回复: 58
收起左侧

[讨论] 浅谈自我保护功能(修改)

[复制链接]
huai168an
发表于 2008-6-13 14:21:07 | 显示全部楼层 |阅读模式
由于实验前对自我保护与access rights中的关系还没有深入理解,实验时出现了主观主义错误,自我保护的优于其它程序的权限,没有特殊情况,文章部分说明已改,实验的例子是失败的,误导大家是我的错,见笑了。
为了本本再少占点内存,将保护神卸载了 (有点洁癖 )。为了保护部分程序,不得不开启相关程序的自我保护功能,搞了半天才算正常。不知道开启后的效果如何,作为最后的账号防线,很是担心。还要说下保险箱的功能,很多人认为保险箱无效果,对,如果系统被突破,保险箱也无能为力,可是它的存在必有道理,对于一般木马的侵入,hook挂钩、键盘记录,部分保险箱还是其一定的防护效果的。保险箱是最后一道防线也是有道理的。
我这里实验的几个程序为病毒常搞的,主要以IE、QQ为例子,来说下设置过程。这里引用了局长的图一张,打磨图两张。版权还是你们的
这里的毛豆模式建议先为学习模式,然后是PM模式(最高模式)。以下实验是在PM模式下进行。
建议fans不要默认规则,特别是D+功能,要进行相关设置才可以达到保护的效果(只是建议,不要拍我
先看下自我保护的具体信息(第二张是局长的图,说的很详细了):
1.jpg

0.jpg

下面看下IE6.0的全局规则中的hook规则(系统无毒状态,建议先是学习模式,自动生成规则。减少麻烦)
1.0.jpg
现在开启自我保护:
1.1.jpg
先看看启动看看IE效果:
你会发现无法启动IE,看日志:
1.2.jpg
通过日志,我们可以添加拦截的文件
为了搞清楚优先级,还要在搞搞看:
自我保护添加正常的dll文件
2.jpg
3.jpg
运行IE:
4.jpg
再来一个例子看看(自身保护中的hook不变):
7.jpg
运行IE
8.jpg

继续:
9.jpg
10.jpg
运行IE无异常
更改下自我保护:
11.jpg
12.jpg

我们看下,对于shell32.dll这个特殊的文件,IE的自身保护中的HOOK及时添加了shell32.dll,全局规则中如果没有允许shell32.dll,运行IE依然会有提示,这是因为Access right中的hook是对IE的权限设置,与protect setting中的保护设置没有关系,。对于msctf.dll貌似很多程序都会用到他,可以放到例外中。
我们再看下打磨的两张图:
15.jpg
16.jpg
多放3张没用的图:
13.jpg
14.0.jpg
14.1.jpg
打磨达人都说了,我也没什么可说的

我用的TW,所以把TW也设置一下
45.jpg
45.2.jpg
46.jpg

可以看出,因为TW是IE内核,还是要挂钩IE相关的dll,如读取cookies文件、对internet选项设置。添加到保护吧

再来看下QQ(这里的QQ不是官方原版,是deepinqq版,部分设置可能有差异)保护:
51.jpg
52.jpg
登陆QQ试试:
53.jpg
看日志:
54.jpg
又是msctf.dll的原因

好了,再关注下其它保护项,访问物理内存不需要添加相关程序,不过不敢保证QQ其它程序访问,到时要看日志,自行添加
windows messages:
57.jpg
58.jpg

process terminations:
56.jpg

总体,自身保护的优先级最高,或许对windows签名的dll会自动允许,不管全局规则中有无、allow or block保护中有的就会放行。这样的话,如果自己的误操作使木马运行,木马挂钩相关保护程序,即使允许了hook,自身保护中没有也是无法挂上的。保护作用很明显。
不仅仅是杀软,还有游戏、浏览器、即时通讯程序都可以设置相关的自身保护来抵御木马的侵犯。
感谢zoes兄的指点迷津:“Protection setting里的四项是用来防止“IE被其它软件进行内存数据存取、被其它软件插入代码/挂钩、。。。。”,是保护IE“不被别的程序怎样”。而Access rights里的类似的设置是“IE可以做什么或者能对别的程序怎么样。。。。”。是设定IE的权限的。”
所以对于shell32.dll这个文件对自我保护没有关系,只是IE的一些运行权限,自我保护的优先级还是最高的。

版主可以撤销加亮,扣除相关经验,希望不要更多的人被我的理解方法误导。
以上是个人临时使用心得,有错误之处请指正,我会及时调整相关设置。

[ 本帖最后由 huai168an 于 2008-6-22 18:03 编辑 ]

评分

参与人数 1经验 +30 收起 理由
某某猫 + 30 好文要支持!

查看全部评分

伯夷叔齐
发表于 2008-6-13 14:29:10 | 显示全部楼层
原帖由 huai168an 于 2008-6-13 14:21 发表
沙发,继续
颠覆!!!COMODO需要高手们一次次对经典教程的“颠覆”。你这个帖还提醒了大家,IE等浏览器很重要,需要去PROTECTED SETTINGS里好好的设置一番。

总体看,自身保护的优先级很高,或许对windows签名的dll会自动允许,不管全局规则中有无、allow or block保护中有的就会放行,shell32.dll是个例外。这样的话,如果自己的误操作使木马运行,木马挂钩相关保护程序,及时允许了hook,自身保护中没有也是无法挂上的。保护作用很明显。
这句话有点经典,如果你不这么概括,我简直会疯掉。

通过此帖,希望掀起PROTECTED SETTINGS热。

[ 本帖最后由 伯夷叔齐 于 2008-6-13 15:15 编辑 ]
huai168an
 楼主| 发表于 2008-6-13 14:42:41 | 显示全部楼层

回复 3楼 伯夷叔齐 的帖子

呵呵,只是临时的设置下,可能还有很多地方没有注意,一起强大啊
pastport
发表于 2008-6-13 15:05:34 | 显示全部楼层
我一般只开前两个
结束进程和发送消息
对浏览器保护来说
似乎不必要
huai168an
 楼主| 发表于 2008-6-13 15:10:42 | 显示全部楼层

回复 5楼 pastport 的帖子

是的,这里只是个例子,全部说了而已,进程和消息可以保护杀软等。保护都是通用的,看个人了啊,保护了也没什么影响,万一出现情况了,就。。。 。开着也不坏事。


估计这个贴废了 ,都没人看,哎 。估计写的不好,要不就是我刚用自我保护,大家都会了,早说啊,我就不用费力发上来了只想和大家探讨下,第一次认真了设置自我保护,是不是我说的太多废话了啊,有什么不正确的地方大家指出啊,只想保护下TW和QQ号

[ 本帖最后由 huai168an 于 2008-6-13 18:46 编辑 ]
baerzake
发表于 2008-6-13 22:54:55 | 显示全部楼层
好文,不过说老实话自我保护设置用处不大呵呵,设置好预置规则就OK了
huai168an
 楼主| 发表于 2008-6-13 22:56:49 | 显示全部楼层

回复 7楼 baerzake 的帖子

是啊,都是纯手工打造 ,毛豆很不人性化啊
baerzake
发表于 2008-6-13 22:58:38 | 显示全部楼层

回复 8楼 huai168an 的帖子

的确相当的不人性,很多小地方需要改进,这个没办法只有等官方更新
周勃
发表于 2008-6-13 23:35:44 | 显示全部楼层
楼主辛苦了。顶一个。
不是写得不好,而是写得非常好。
不是没人看,而是阳春白雪,曲高和寡。
不是不实用,而是我不懂。
本人禁用D+,只图简单,以为只要墙够强大,别人不可以入侵,就够了,没有木马了,D+也就废了。
不想钻研,不想深究。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-15 21:49 , Processed in 0.106356 second(s), 22 queries .

快速回复 返回顶部 返回列表