瑞星卡卡安全论坛

最近发生的两件事使我不得不考虑如何解决硬盘中的现存文件安全问题。

一件是“天天泡泡”版主置顶帖中提到的那个删除硬盘文件的蠕虫( http://forum.ikaka.com/topic.asp?board=28&artid=7655128,2楼内容)；另一件是入侵者通过给硬盘文件加密的卑劣手段敲诈用户钱财。
这两个案例涉及硬盘文件的删除/写入问题。
针对硬盘文件的删/写安全问题，事先采取点儿防护措施如何？将重要文件刻录成光盘当然是一个不错的办法。可是我这个人比较懒惰，虽然也置办了刻录机，但就没刻过几张盘。
还是用懒人的懒办法——用TFP2005的“文件保护”。试了一下，结果似乎还算满意。之所以说“结果似乎还算满意”，是因为这个措施还未经过实际的网络入侵检验，下面只是我自己在系统中初步试验的结果。

详细介绍一下这条防护措施及其防护效果吧。

1、在TPF2005的File Protection（文件保护）中设置一条expert rule（专家规则，高优先权，见图1）。expert rule是个什么东东？我还没细究这个问题，先这么用吧（有点儿不求甚解）。

图1

附件: 1558472006127113656.jpg

2、我的硬盘只有两个分区。系统及应用程序在C盘，有GHOST备份（备份放在D盘）。因此，这条规则只是针对我的D盘。D盘中的Mydoc目录是我的重要文件；Program File目录则是存放系统GHOST备份的地方。这两个目录必须保护起来。



附件: 1558472006127113817.jpg

3、管用吗？考查一下。将“资源管理器”复制到D:\Program Files\Norton SystemWorks\Norton Ghost目录下，然后删除它。
不让删，且TPF2005报警。

附件: 1558472006127113921.jpg

4、重新命名一个Mydoc目录中的word文档——也不让，且TPF2005报警。

附件: 1558472006127113954.jpg

5、编辑这个word文档（在尾部加几个空格），然后保存——也不让，且TPF2005报警。

初步试验结果还算满意。


附件: 1558472006127114057.jpg

6、有人可能会问：如果用户自己需要删除或编辑这些目录中的文件怎么办？有办法：删除或编辑前，先暂时关闭TPF2005的WINDOWS SECURITY即可。

附件: 1558472006127114252.jpg

7、编辑/删除操作完成后，不要忘记重新启用TPF2005的WINDOWS SECURITY。否则，就没有这种保护了！

另一个可能提到的“根本”问题是——如果有黑客钻透了TPF并先关闭了其WINDOWS SECURITY会怎么样？
那还能怎么样？我的系统死呗。但话说回来——钻透TPF并关闭其组件也不是件容易的事。

附件: 1558472006127114349.jpg

呵呵，baohe又辛苦了。
年后在安全版为TPF写一篇中级教程吧，初级的我来写，呵呵。

偶没啥重要文件
只是把WINDOWS，和SYSTEM32文件夹设为 不让在里面创建，修改，删除exe,dat,dll等文件，碰到些流氓软件和一些木马还是有效果

引用:

【菜菜飞翔的贴子】偶没啥重要文件 只是把WINDOWS，和SYSTEM32文件夹设为 不让在里面创建，修改，删除exe,dat,dll等文件，碰到些流氓软件和一些木马还是有效果 ...........................

建议你再加上“禁止删除%system%\drivers下的.sys”。万一这些驱动文件被删了——也够你喝一壶的！

引用:

【baohe的贴子】 建议你再加上“禁止删除%system%\drivers下的.sys”。万一这些驱动文件被删了——也够你喝一壶的！ ...........................

哦，确实，马上加上

感谢baohe，收藏了，希望能多一点写这样的帖子。

恩...学习 ~

学习

好东西

最讨厌恶意文件了!

版版还行啊

TPF2005一个防火墙让你挖掘出这东东

佩服~~~~~~~~~~~！1

还有个建议,就是用户先用加密软件给重要数据加密(防删除或隐藏）。
当然很多加密软件是共享的，而且部分加密软件带有流氓特征或捆绑病毒，大家要自己有分析地进行选择。

附件: 4670772006127203609.JPG

引用:

【天天泡泡的贴子】呵呵，baohe又辛苦了。 年后在安全版为TPF写一篇中级教程吧，初级的我来写，呵呵。 ...........................

春节礼物吧,也该给我们这些菜鸟扫扫盲了.谢谢了.好东西谁不爱,你说是吧?

看来又有好东西能看到了~~~

最近看到有人的整个e盘被加恶意密了。针对这种问题，可以考虑从一个分区的根开始保护——

附件: 1558472006127205944.jpg

经典...

      学习学习。 .

TPF200在哪里下载啊    楼主告诉我

不错!!

问题在于
1 如果黑客 事先 终止了 类似的 保护软件
然后 执行呢?
2 黑客一般情况下面 把加密工具安装在 C:\
对D盘 加密 也是可以(看用啥 加密工具)
3 直接加密BOOT
类似的办法很多

前段时间 就碰上这个问题
一家公司的 数据被加密
据说 是 一个 被辞退 的 员工干的
加密了D:\ 连格式化都做不了
------------------------------------
好在 复制还能做
直接 把硬盘数据复制别的硬盘
然后拿回去 解密
------------------------------
幸好是对称加密 解一下 也不算太难
-------------------------------
在这也给大家提醒:
一旦员工走人了,必须更换 管理员帐号
虽然这次 解密 公司 花的钱 不多 5000多
但是万一 是DES加密 或者3DES之类的 就不是这么好解了
----------------------------------------
钱丢了 还能赚回来  数据丢了 就很难再找回了

厉害啊！

学习了！~~~~~~~~~~~~