关于（系统目录）最基本最简单的写入检测的个人理解！

小静电

最近看到新人对这个测试还是没有完全搞明白，我结合自己的理解讲一下^_^，本人新手，用毛豆时间也不长，有不对的地方也希望大家不惜赐教，共同用好毛豆。

先说明一下，防住这个默认规则也是没有问题的，但问题的关键是，你是用什么方法、规则，来实现这个目的的，这样对以后类似的程序就会有一个比较清晰的认识，一句话：你要充分了解自己的规则，知道自己的规则是用什么方法来完成这个测试的。这也就是本贴的目的了。

这个测试扩展名是.vbs，那么xp系统默认是要用C:\WINDOWS\system32\wscript.exe来运行的。
要防住这个测试可以有好几种方法，ad保护（阻止运行）、或fd保护（阻止写入文件）、全局保护规则中fd保护、隔离文件等等方法，主要讲一下ad和fd的防护。

1、（ad防护）首先在explorer中run中如果加入C:\WINDOWS\system32\wscript.exe这个程序，那么属于秘书所讲的ad防护了，wscript.exe程序根本就没有运行，也就谈不上后面的写入
动。

结果这个程序根本就没有被运行起来，直接阻止了。

2、（fd防护）让explorer运行这个程序后，那么默认wscript.exe的规则是全部ask，运行后就会出现写入目录的的提示，这时阻止他写入文件的动作，也就是秘书所讲的fd防护了。






3、全局规则保护（fd防护）在全局规则中fd保护中加入对系统目录的保护，运行后不会有任何弹窗，看日志已经直接被阻止了。



在全局规则中保护系统目录



结果就是根本不会弹窗，而是直接被阻止了，这里还牵扯到了规则优先级的问题。具体来讲，ask不是确定操作，所以会向下继续寻找规则，在全局规则中找到了阻止的确定操作（阻止系统目录写入）所以直接就被执行了，（如果全局规则中也无具体规则，那么才会弹窗询问）。

总结一些，防护是需要立体的而不是孤立的一个程序，是fd、ad、rd共同结合的产物。并且你要熟悉自己的规则，知道具体是哪一步被阻止了。

[ 本帖最后由 小静电 于 2009-2-20 10:24 编辑 ]

tapingshan

我的理解就是对于那些程序要经常访问的地方允许，但重要的地方阻止之后能不能让恶意程序运行起来，
就比如很多程序都要访问文件系统，这一步允许了，之后它又要在windows下建立文件，这一步阻止，之后看看这个程序能不能运行，如果能的话证明防御成功！！
不知道讲的对不对

zhyun1117

不建议在explorer中阻止(我的是允许）
在全局中阻止
这样可以保证自己使用 其他的不能调用

月光下的忍者

哎~~~

你太疯狂了~~~~~

你把小白们都教懂了，我怎么办~~

…手下无人…我就成小白了~