将防系统时间修改进行到底！！

听雨醉

最近，有关防系统时间修改的讨论很火。原因就在于卡巴的KEY和病毒库的验证方式是以用户机的本地时间为准（晕），而有些马就瞅准了这个空子对卡巴放冷枪（再晕）。截止目前为止，对于这些冷枪卡巴还没有添加有效的防备，只是逮到一个杀一个（更晕）！如何防范未经授权而擅自修改系统时间，顿时成了热门话题。


误区一：从注册表来防范系统时间的修改。

在此类木马出现之初，有些网友就开始在注册表里寻摸，以期从这里找到能够防范它修改时间的方法。但是我用一天的时间上网搜索发现，这些都是徒劳的。系统时间根本就不在注册表里控制！

在Windows 9x/ME中，均没有提供通过修改注册表来防止修改系统时间的功能，Windows 9x/ME中每个用户都可以通过在命令行状态下运行time命令来修改系统时间。系统时间是存放在CMOS里的，所以注册表对它是不能起到管理作用的。在Windows中修改时间，其实也是在修改CMOS中的时间。Win系统只是负责将其读出来而显示。

亲测实例：
使用Ashampoo UnInstaller Platinum和regshot对注册表进行监控和对比，收获甚微，但经分析后均没有发现可以防范系统时间被修改的键值。


误区二：从敏感文件来防范系统时间的修改。

于是，有网友就想起了对敏感文件进行限制来防范。例如对cmd.exe文件的限制。这看起来确实是一个好办法，便是实际操作起来却很有难度：

1、使用regshot对cmd.exe的活动进行检测你会发现，cmd.exe对注册表的修改为0记录。regshot监测不到它有任何活动（它根本不往注册表里写东西你当然监测不到了～），这也再次说明了误区一。

2、在卡巴的默认设置中，“程序完整性控制”功能是未启用的。如果将其启用，并将cmd.exe添加进关键程序列表后，那么麻烦就来了：要么你将其它关键程序挨个“学习”一番，把它们都调整得服服贴贴；要么你将其它关键程序都取消，只留cmd.exe一人独占整个列表。否则，只每天N多的卡巴提示窗口就可以让你点到手软。然而这些都是次要的，如果这个木马不用批处理命令不调用cmd.exe来修改时间呢？

亲测实例：
手软滋味，自己体会-_-|||


看到这里有网友慌神了，这可咋办？这也防不住那也防不住，难道任木马为刀俎而我们为鱼肉吗？——那当然不是！在卡巴出台防时间修改的技术之前，咱们可以使用的方法有三：

1、组策略法。
请参考 曲中求 版主的帖子：http://bbs.kafan.cn/viewthread.php?tid=48203&extra=page%3D1
这个方法网上比较流行，也很有效。缺点是修改组策略后，自己要改时间的话只有到BIOS或纯DOS下改，亦或者到组策略中添加相应的用户权限才可。
PS：
1、改完后记得一定要重启电脑，否则无法生效。
2、Windows 9x/ME用户就无此福分鸟。

2、360安全卫士的系统时间防改工具。
不管你对360安全卫士是否有成见，但是它确实解决了这个难题。它会释放到一个驱动文件到系统的drivers下，然后在注册表中注册一个服务并关联这个驱动文件。很牢靠，无论你怎么修改时间它都能防得住。缺点是它在注册表中写下的服务一重启就没了，你得每次开机后运行它一次……
下载地址：http://www.greendown.cn/soft/6520.html

3、自己写个小程序。
如果你是菜菜请略过，当俺没说。不过，俺已先你之前略过。因为俺也是～

≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡≡

后记：

1、本来不想再哆嗦这篇帖子了，因为近段时间这方面的帖子（包括原创和转帖）都很多，也都是那么点资料。但是不想写着写着写长了，发个回帖被淹俺也又甘心-_-||，所以遂成此文。高手们莫见笑喽～
有关帖子：关于禁止修改系统时间的总结

2、近几日给别人维修电脑时，发现修改系统时间的木马有泛滥趋势，并且它们还写了注册表的映像劫持区域。提醒大家加强防范！避免注册表被映像劫持的方法，请参阅：http://bbs.kafan.cn/viewthread.php?tid=91396&extra=page%3D2

zerosu6652

现身说法
顶一个

dzl1975

偶就是在组策略里面修改了。

梅边吹笛

学习了，谢谢楼主分享！

qingdianlgy

支持，让更多用卡巴的人知道

16000

原帖由 听雨醉 于 2007-6-6 18:19 发表
最近，有关防系统时间修改的讨论很火。原因就在于卡巴的KEY和病毒库的验证方式是以用户机的本地时间为准（晕），而有些马就瞅准了这个空子对卡巴放冷枪（再晕）。截止目前为止，对于这些冷枪卡巴还没有添加有效 ...

360那个重启会没有么？可以的啊

LZ验证过没有？

[ 本帖最后由 16000 于 2007-6-6 19:04 编辑 ]

sharkkong

修改了主策略啦。这样比较安心

曲中求

可能楼主用得是绿色版本的原因。。。。

P.S俺自己也是用得组策略的方法。。。。。。这个方法也只适合不修改时间的用户。。有时需要修改时间的用户，可以用360的工具。。。。

找适合自己情况的又相对安全的办法就是好办法



[ 本帖最后由 曲中求 于 2007-6-6 20:01 编辑 ]

Giggs

映像劫持这个东东最近用来搞卡巴的多

blog

谢谢版主分享