查看: 15923|回复: 43
收起左侧

警惕恶软瞒天过海——注意all application权限防线

[复制链接]
huai168an
发表于 2008-10-17 11:57:45 | 显示全部楼层 |阅读模式
大家看到了aseioteur兄的那个帖http://bbs.kafan.cn/viewthread.php?tid=345577&highlight=“巧用Comodo模式切换,打造另类程序安装模式”及其它的相关贴,虽然主要讲的是来利用预置规则限制安装程序的危险动作,当然也提到了all application权限或安装模式的默认权限的问题,但安装程序确实是要注意的问题。其实这个问题早就是HIPS类的普遍通病,通过安装程序秘密的潜入系统那是很容易、很危险的。如果说HIPS类软件不防利用安装软件的漏洞来入侵系统,那是乱说,如果说完全防范它,那也是胡扯。HIPS爱好者或comodo防火墙爱好者如何利用HIPS功能来最大限度的防范安装程序的漏洞,也是大家所关心和注意的。下面就围绕着安装模式的问题来说明all application权限的重要性

所以这次帖的主要内容就是all application权限与安装模式的联系及all application的重要性。因为试验过程中又有安装模式的其它问题出现,很是头大,安装模式的部分内容就不详细深入了,以安装模式为引子,来阐述all application在comodo中的地位。毛豆。。。。。真的让我很无语。。。。

在毛豆的AD中 all application这个全局规则的权限来限制已知的程序动作,D+的重要整体运行逻辑,然而all application的作用不仅仅是停留在限制已有的程序规则,未知程序的限制包括安装模式的程序,all application 规则起着很重要的作用。如果你有试验病毒的习惯,害怕人为的误操作(当然规则要较完善好点),那么all application权限的作用就体现出来了。

好了,我有点唧唧歪歪了,既然部分fans对安装模式与all application权限的关系有点疑惑,说安装模式权限很大,大的有点吓人,那么下面就来看看all application权限对安装模式的影响

此次试验环境为comodo V3 378版 默认规则 (fans如果用的是CIS,那都差不多的,无非是规则多了等等,安装模式的机制不影响到CIS吧)




我们看下sboxie沙盘的安装过程






再来看看暴风影音的



下面这个是暴风的典型无用服务进程


这两个程序安装非常顺利,就像没有comodo一样。

上面是在没有记住规则的情况下进行安装的,下面就看下如果对explorer 和安装程序分别记住安装模式的情况(这个情况是在D+模式为paranoid mode下试验的,部分试验并不可靠,因为paranoid mode有恶软行为启发,会有提示)
还是沙盘为例
explorer安装时记住




沙盘程序安装时记住


这里我们同时试验下沙盘安装程序后对应的主程序的权限情况
之前的all application权限我们给个阻止调用IE浏览器

看看安装完成后沙盘主程序可否调用

这里就可以看出情况,安装模式权限继承。。。。。继承依然被all application限制

从记住规则来看,explorer与安装程序都会在AD中并为installer or updater,在上面的一个explorer调用不记住规则查了一个切换安装模式的对话框,就explorer而言,如果忘记设置回来是不安全的,explorer如果是默认allow且all application权限也默认的话,即使D+为最高模式,运行单一程序都很危险;对于安装程序的记住动作就多一个规则,也不太好,毕竟安装程序就用一次,而且AD多了一个不常用规则,影响comodo的运行效率。所以安装软件时最好不选择记住此次的安装规则。。

OK,我们变下all application权限 部分为block注意:block情况为极端情况,试验就要有极端的情况,这个不考虑FD、RD、COM口规则了,默认保护的较少,但也不影响试验。AD全为默认


沙盘



暴风影音


搜狗



后面的阻止就不截图了 估计很多


这里我突然想到了,安装模式会不会与程序默认安装位置C:\Program Files有关呢?试试其它位置

其它就不截图了,可以看出是保护的executable类型,E盘我并没保护,安装模式与all application还是有关系的。子程序无法创建,那么安装的都会失败。

安装模式不仅仅是针对安装程序 ,单一程序的权限问题也是如此,下面就看看未知的单一程序在安装模式下的情况(如果AD规则较好,可以试验病毒)
此次的all application权限 将设置为整体为ask,部分动作加入例外




程序对象为wsyscheck






好了就看到这里了,以上可以看出安装模式与all application权限是密切相关的。安装后的子程序还是和父程序 及安装程序一样的权限,那么如果安装程序中有恶软,all application的权限限制必然也将作用于子程序上,如果all application为默认的ask,那么子程序运行的会很“嚣张”,会有很多动作如加驱动 服务 改注册表,comodo不会提示,默默就运行了。。。。后果。。。

当然all application权限部分为block也是不明智的,除非你不安装软件或者规则已经完善了。作为普通的使用软件来说,all application权限还是加例外为好,保证一些正常的安装软件同时呢还可以限制下安装过程和安装运行后的部分动作
下面看下对于常见软件可以直接阻止的权限(以下所说的就看fans自己的个人需求或爱好了,只是举例一些基本的东东)


其中的loopback networking、disk、physical memory、monitor、keyboard、DNS这5项可以根据自己的需求直接block。

下面的这些就是加入例外规则,在ask的基础上添加些保护(可不是直接block啊)
run an executable 的例外block 可以加入一些系统危险或无用程序,当然黑名单也可以


ineterprocess memory access block一些系统进程、安软进程就可以

Hooks就ask吧

process terminations 可以直接设为block,常用软件不会随便就结束某个进程吧,如果你感觉权限过小,可以加入安软等进程

device driver installations 其实是个头疼的权限,因为程序的驱动存放来说还是不定的,名称也未知,这里就ask吧,不然所需驱动软件就麻烦了,同时也要注意service.exe程序权限与SCM的调用

windows messages 加入安软的block吧

COM interfaces 可以加入修改时间、关机等接口 ,虽然SCM权限较大,不过很多软件也用到,避免繁琐


registry keys 就可能多点,把握一些病毒常修改的地方,如启动项、映像、IE首页等


protected files/folder black 系统重要文件、安软目录、命名通道、私人文件等 block之


以上是就all application权限的例外block 简单的说下,基本思想就是阻止一些可能被病毒利用的危险地方,正常的软件也不会触犯这些地方,可以根据自己的情况来设置,但all application不能设置太严格,不然。。。毛豆就发飙了。。。
当然如果fans喜欢更细致的权限 可以利用预置规则来对不同类型的程序来安装,也是不错的选择


真是牵一发而动全身,由安装模式涉及到all application权限的设置,而all application全局规则又会想到文件保护、COM口保护、注册表的保护范围和其在整个AD中的作用,预置规则、黑名单都会被用于安装模式,安装如果有问题就要看日志再次返回all application权限设置。。。。环环相扣,comodo的整体性太强,考虑的要周到。但具体看单个功能完成,它又很零散,很多功能可以被利用也可以被抛弃,总是让fans有方式完成设置。

就安装模式而言,个人认为是AD中的一个特殊规则,并不会脱离all application的范围,就像预置规则一样,预置规则就是all application规则的特殊可被灵活利用的一种规则,而安装模式就是内置的all application规则,就看all application的权限大小。预置规则用于安装程序或单一程序,那么all application也是,不仅仅是在AD中起作用,安装模式亦是。而安装模式无非就是将默认的all application的ask视为allow,无提示;当all application中有设置后(这里是black情况,allow就不说了),安装模式的对应动作将匹配其中的内容,直接阻止;单一程序也是如此。由于comodo只关心父程序,这也侧面说明了安装模式的单一性,安装模式并不特殊。

用图总结下鄙人的观点----All application轴心论

安装模式的一些论点




鄙人唧唧歪歪了一大堆,可能比较乱,其实就是要fans(特别是无杀软fans)注意下all application权限,它很重要,整个毛豆的D+规则它是核心,所有的安全设置都会涉及到它,它也是利用好设置的安全规则,限制程序动作。无论是安装模式还是单一程序,设置下一定功效的all application权限,虽然不会完全防范安装中的恶软,至少让恶软失去一半的功力(正规的下载一般不会出现问题),不要期望HIPS会完全阻止安装中的恶软(更多的注意浏览器与移动硬盘的安全),至少不要被恶软轻而易举的潜入破坏。。。。。

由此次试验发现安装模式的其它问题就不说了,太烦了,会出人命的  反正我是受不了。。。。毛豆,你折磨了太多fans了。。。。


本帖为抛砖引玉,欢迎fans一起讨论、学习,如果有错误大大可以指出,以免我再三误导fans,谢谢。

[ 本帖最后由 huai168an 于 2008-10-25 11:07 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 5经验 +33 魅力 +1 人气 +4 收起 理由
周勃 + 1 精品文章
baerzake + 33 + 1 精品文章
polly5771 + 1 写得很棒。受教了!
gwg829 + 1 哎..............
llxm920 + 1 鼓励 鼓励

查看全部评分

末日逐沙
头像被屏蔽
发表于 2008-10-17 12:21:57 | 显示全部楼层
晕,写的很好,不过很简单哦,呵呵,给楼主一砖,听说你喜欢
llxm920
发表于 2008-10-17 12:22:51 | 显示全部楼层
又有好文章
aseioteur
发表于 2008-10-17 12:23:21 | 显示全部楼层
好贴,168,顶!
光顾看好文,没抢到沙发!!
yj2371
发表于 2008-10-17 12:24:18 | 显示全部楼层
路过……毛豆卸了,用不起啊,哎!
玉出昆岗
发表于 2008-10-17 12:24:48 | 显示全部楼层
很好很详细
pastport
发表于 2008-10-17 12:39:51 | 显示全部楼层

分析总结很好

All application 平时
我是不怎么管的
基本设置一下通用的底层磁盘和物理内存BLOCK之后
其他都是询问

[ 本帖最后由 pastport 于 2008-10-17 12:41 编辑 ]
gwg829
头像被屏蔽
发表于 2008-10-17 12:49:49 | 显示全部楼层
活的累不  

简单就是美啊  
qcqyt
发表于 2008-10-17 13:10:23 | 显示全部楼层
168又发精帖了.支持一下!
又偷学了些
hhsailor
发表于 2008-10-17 13:22:40 | 显示全部楼层
注意all application权限防线
嗯,不错了!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-14 14:53 , Processed in 0.160508 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表