搜索
查看: 11853|回复: 8
收起左侧

RD注册表防护规则编制

[复制链接]
九尾野狐
发表于 2007-2-17 00:23:59 | 显示全部楼层 |阅读模式
转EQ论坛    http://www.eqspywatch.com/bbs/read.php?tid=523&fpage=3



比较适合新手,可算做设置入门



  注册表保护与应用程序保护有所不同,EQSecure默认情况下不拦截对注册表的各种操作。所以,对注册表保护规则的添加不再能利用询问窗口自动进行,而是需要我们手动进行添加。注册表保护规则添加的主要问题也不再是如何添加的问题,而是要添加什么内容的问题。

  一、在“所有程序规则”类别中添加规则。

  一般的规则都要添加在“所有程序规则”类别中,有特殊要求的才在其他两个类别中添加。

  关于如何添加的问题在前两篇中我们已经讲过,这里就不再赘述,主要讲一下要添加什么样的内容?应该设置怎样的参数?

  由于需要监控的内容很多,我们不能一一介绍,这里只讲几个典型,以帮助大家领会EQSecure 规则编制的一些技巧,详细内容大家可以参考我整理的规则及相关知识深入研究一下。

  1、注册表的自启动项。

  大多数木马病毒都是利用注册表的自启动项来激活自己的,因此注册表的自启动项是我们保护的第一重点。自启动项中最典型的就是RUN项,它通常存在于以下两个地方:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  第一个是当前用户自启动项,其下面的值是指仅在指定用户登录时才启动的程序;第二个是所有用户自启动项,下面的值是任何用户登录都会自启动的程序。

  对于这两个项下的值,除了一小部分安装程序外,一般不会用到,因此应将其加入规则,将对其值的修改设为阻止。

  由于其下的任意值都应该阻止,因此我们在其值部分,用“*”来表示任意值。

  拦截操作中将修改注册表设为阻止,记录日志;删除注册表设为允许,不记录日志。

  一般对阻止的操作应该记录日志,因为阻止操作有可能影响系统正常运行,记录日志能够帮我们查找问题。允许操作最好不要记录日志,因为允许操作是系统默认的操作,并且被我们明确规定允许的操作也一定是我们信任的操作,没有必要记录日志。

  按此要求设定好的规则就是:



  小知识: “*”和“?”通常用来表示通配符,其中“*”可以代表任意多个字符;“?”可以代表任意一个字符。通配符的使用使得规则编辑非常灵活,但由于其可以代表一切字符,用不好的话,可能会引起一些不可预料的结果,所以,对用了通配符的规则,一定要反复测试,以防错误。

  上面两条规则已经能够实现我们的目的,不过通过观察,可以发现两条规则除前面几个字母不同外,剩余的都一模一样,这样我们就能用通配符来代表这几个不同的字符,将两条规则合并为一条规则,来达到简化规则的效果。

  另外,在RUN项的后面还有RunOnece、RunOneceEx等也能实现自启动的项,我们还可以在RUN后面加上通配符“*”来将这些项也包含进去。最终的规则就是:



  如果RUN下也不允许新建子项,并且子项下的值也不想被随便修改,就勾选上“包含子键”选项。



  2、服务项。

  WINDOWS的服务实际上也是一种程序,不过它总是运行在后台,没有界面,我们一般看不到它。它随系统的启动而启动,比自启动项更为优先。它在注册表中对应的项是:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 

  其下面每一个子项代表一个服务。当前许多木马和流氓软件都采用了服务和自启动双重启动方式来激活自己,并且二者相互保护,相互修复,使得我们很难清除它们。而正常情况下,服务项除了在安装部分程序会用到外,平时是不会新增的,所以我们要对其进行控制。规则如下:



  一般情况下,虽然不会新增服务项,但许多正常服务会经常修改自身的一些值,因此,为了不影响已有服务正常运行,我们还需要勾选“忽略注册表数值”选项,放开对值的修改的阻止。



  3、IE浏览器相关注册表项。

  随着网络的普及,IE浏览器成为众多病毒、木马的寄身之地,有的通过IE浏览器来秘密启动自身;有的则劫持绑架IE浏览器强迫用户访问垃圾网页;更有甚者,会假冒IE浏览器,取而代之。而这些,几乎都是通过修改相关注册表来实现的。比如浏览器的main项,这里可以设定默认主页、默认搜索页等信息,许多流氓软件都会在这里大逞淫威。因此,我们要将其中的敏感值保护起来。设置规则如下:



  这个只是一部分规则,详细内容可以看一下EQSecure自带的规则。

  由于这里我们要控制的是确定的值,所以注册表值的部分也有确定的内容,而不再是通配符。

  4、其他。

  注册表中还有许多项和值是需要我们保护控制的,有关知识大家可以查找相关资料。

  二、在“应用程序规则”类别中添加规则。

  当我们将注册表中所有可能被病毒利用的项和值都控制之后,就切断了木马、病毒的启动途径,我们就不再害怕木马、病毒的入侵了。但是,有个问题也会随之而来,当有正常的程序需要修改这些被控制的注册表项和值时怎么办?放开控制,不安全,不放开,又可能造成正常程序运行失败。

  那么有没有办法让我指定的程序可以修改被控制的注册表,而其他程序不允许修改呢?这样的话,既能保证系统安全,又能不影响正常程序的正常运行。答案是肯定的,只要在“应用程序规则”类别中添加相应规则就可以了。

  比如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 项下的许多值是比较重要的,也可以自启动应用程序,因此,应该在“所有程序规则”类别中将其加入规则。



  但对%WinDir%\system32\winlogon.exe这个应用程序来说,可能会要求修改这个项下的值,而这个程序是WINDOWS系统的重要程序,如果它出现错误,会导致系统崩溃。所以,我们在“应用程序规则”类别中为其设定例外。

  首先添加程序:%WinDir%\system32\winlogon.exe,将程序的操作参数设为“允许”和“不记录日志”。



  程序的操作参数是指程序对没有在规则中指定的注册表项和值进行操作所应用的参数。由于注册表的规则是:只要没有在规则中专门指定,都允许操作,这样才能保证系统正常运行。所以应用程序的操作参数也一定要设为允许。

  另外,还要勾选“搜索所有程序规则”选项,这样“所有程序规则”类别中的所有规则才能对这个程序起作用,在其下添加例外规则才有意义。



  然后在此程序下添加注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,将“修改注册表”和“删除注册表”两个参数都设为“允许”,并且“不记录日志”。由于我们勾选了“搜索所有程序规则”,“所有程序规则”类别中的所有规则都对winlogon.exe起作用,所以,我们这里先行设定允许操作,让其在“所有程序规则”中的规则之前起作用,从而达到此注册表项针对此程序来说,是例外的,可以修改的。



  三、利用日志对规则进行调整与修正。

  我们设置规则的目标:一方面要最大可能地防止有害程序入侵,另一方面要尽可能地不影响正常程序的使用。但要使二者都得到满足是很困难的,需要我们在使用过程中不断地对规则进行调整。调整的依据主要是程序的出错信息和日志拦截信息。

  由于多数情况下,被阻止的应用程序不会报告错误,因此我们参考的依据就主要是日志了。

  在前面,我们要求对操作参数设定为阻止的规则记录日志,就是因为它是我们调整规则的重要依据。

  在任务栏中的EQSecure图标上单击鼠标右键,在弹出的菜单中选择打开日志,即可打开日志窗口。



  日志窗口有四个页:所有日志、应用程序日志、注册表日志和文件日志。



  一般情况我们看所有日志就可以了,日志较多时可以看各分页日志。

  对日志的分析与对应用程序保护询问窗口的分析是一样的,主要看发出操作的应用程序和涉及到的注册表、文件等信息是否可靠。如可靠,说明规则过严,影响了正常程序的运行,可以对相关规则进行调整,或是为此应用程序在“应用程序规则”类别中设置例外;如果不太清楚,可以放一放,多观察一下;如果确定不是正常操作,可能是感染了病毒,就需要用杀毒软件清除一下。

评分

参与人数 1经验 +5 收起 理由
小邪邪 + 5 精品文章

查看全部评分

sifang
发表于 2007-2-17 00:31:54 | 显示全部楼层
不错,SSM也可以参考。谢谢,很详细,正需要。
Frankiec
发表于 2007-2-17 00:38:58 | 显示全部楼层
学习了,hips的重要参考
小邪邪
发表于 2007-2-17 00:54:00 | 显示全部楼层
不错啊,好贴
逍遥英杰
发表于 2007-2-17 08:23:22 | 显示全部楼层
怎么看起来这么复杂呢
卡巴007 该用户已被删除
发表于 2007-2-17 10:46:03 | 显示全部楼层
ssm没出什么规则吗?
Oceanzd
发表于 2007-2-17 10:51:44 | 显示全部楼层

回复 #6 卡巴007 的帖子

SSM的默认规则已经很强大了。。。
卡巴007 该用户已被删除
发表于 2007-2-17 11:08:09 | 显示全部楼层
原帖由 Oceanzd 于 2007-2-17 10:51 发表
SSM的默认规则已经很强大了。。。


版主能否发个教程,介绍一下注册表的一些关键键值,就是需要防护的项!没有相关知识,设置规则不太容易!
sifang
发表于 2007-2-17 14:33:29 | 显示全部楼层
强烈同意007的观点!
SSM是强大,但是,更重要的是透彻的了解,知其然,还要知其所以然!SSM的设置是非常个性化的,一套对谁都通用的规则,也会是对谁都没用的规则。真的非常期待版主们出些SSM教程,当然,这是非常辛苦的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-12 17:19 , Processed in 0.088890 second(s), 19 queries .

快速回复 返回顶部 返回列表