一 基本概念
1 保护资源: YasBox中把注册表,进程,文件当作资源看待, 保护资源就是保护的注册表项,进程和文件,目前1.10版本中
进程并没有进行保护,驱动是实现了,只是应用程序并没有对应的保护接口.
2 超级进程: 在YasBox中,超级进程意味着权限最大的进程., 它可以操作系统的一切保护资源,包括 保护资源
3 受限进程: 收到YasBox限制的进程, 比如是否有写文件的能力,结束进程的能力, 即使拥有相关的能力,也不能操作保
护资源, 比如一个受限进程拥有写文件的能力, 但写的对象如果是保护资源的话,那将被拒绝.
4 自由进程: 不受YasBox安全模型限制的进程, 它比受限进程的权限要高,但依然无法操作保护资源. 在YasBox允许前
已经运行的那些进程, 默认是自由进程, 如果你设置了不允许自由进程, 那系统将不会出现自由进程.
每个新创建的进程都会被YASBOX的权限限制, 如果你加载驱动,可能会破坏权限,所以加载驱动时一般会进行询问, 你
也可以通过设置TOKEN来禁止加载驱动.
系统设置
1 怎样调整进程的权限
在进程列表中右键,"查看进程权限", 如果你想允许该进程有什么权限,打上钩,按下面的更新按钮就可以了.
2 怎样调整每次启动进程的权限.
每次进程创建时,YASBOX都会给予一个默认权限, 比如是不允许结束进程的. 如果你想让每次进程创建时拥有另外的
权限,可以通过..系统设置--->>>全局规则设置--->>>设置 你想要什么权限就打上钩,接着更新就可以. 如果你想恢
复原来的权限设置, 系统设置--->>>全局规则设置--->>>恢复 就可以了.
3 怎样让进程运行就拥有超级进程的身份
超级进程一般拥有的权限比较大, 如果你想把系统的可信进程一运行就拥有超级进程的身份,可以 系统设置--->>>信
任程序列表框 右键,添加就可以了
4 我不想让一些程序运行,怎么办
通过添加禁止就行了,这样程序是不能够被加载运行的,如果有些病毒你暂时清除不了,可以通过禁止它运行来达到隔
离目的. 可以在 系统设置--->>>第二个列表框 右键添加就可以了.
5 在用IE时,我想在运行新程序获得通知
一般在上网时是不会创建进程的,我们可以监控是否有进程运行来判断是否中马..系统设置-->>其他设置-->>进程运
行时询问就可以了.
网络设置
一般主要是在局域网才比较有用,稳定性有待提高
1 我不想跟局域网的某些主机通信
可以通过添加禁止IP就行了.
2 怎样发现攻击
主要从数据包的发送接受比例来判断,比如你老是接ARP包,自己发的ARP包很少,那基本就是受到ARP攻击了.
文件设置:
1 我不想别人 写 C:\TEST 目录下的所有EXE文件,怎么办
可以通过 C:\TEST\*.EXE 只允许读 来实现, 这样这个目录下的所有EXE文件就只能读了..
2 我想让整个C盘的EXE文件都不能被修改,怎么办
可以通过 C:\*.EXE 继承子目录, 只允许读来实现..
3 我不想别人 写 C:\TEST 目录下的所有文件,怎么办
可以通过 C:\TEST\*.* 只允许读 来实现, 这样这个目录下的所有文件就只能读了
4 我不想让别人打C盘操作,怎么办
可以通过添加 C: 就行了..
上面的EXE是是例子,你可以改成其他文件类型, 注意这里权限只取最小的权限. 比如你允许 C:\1.EXE 可读可写..而
另一条规则 允许 C:\1.EXE 可读 那C:\1.EXE最后的权限只是可读.
具体你可以自己添加,看描述就行了.
注册表设置
在这个地方你看到的注册表项,只能被超级进程访问,其他权限都被拒绝,当然你可以在相应项目设成P,这样一般进程
也能访问了, 如果你想把整个注册表保护起来, 点下面的 "开启 整个注册表保护", 就行了.任何对注册表的操作在重
起后被恢复..
日志, 运行一个程序,可以通过日志来观察其行为..
上面就是简单的描述, 我觉得简单, 但保护的话应该是足够的...特别是文件系统防护和整个注册表 应该可以保证系
统安全了...当然时间问题,可能出现些问题,欢迎大家指正,谢谢. |
发表于 2009-8-27 13:48:45
发表于 2009-8-27 14:11:41
强烈支持
