驱动程序.sys的管理问题 bbs.ikaka.com

baohe - 2008-7-20 20:53:00

最近，通过恢复SSDT，废掉杀软等安全工具的病毒流行。中招后，这类病毒给用户造成不小的麻烦。目前为止，这些病毒恢复SSDT，基本上都是通过加载一个病毒驱动.sys实现的。只要不让病毒驱动加载，即使中招了，处理起来也方便得多。
因此，如何恰当管理系统驱动程序，不给这类病毒留下可钻的空子，是每个用户应该考虑的问题。

这里，我将自己使用“软件限制策略”和瑞星“主动防御”设置对付这类病毒.sys的方案及其防护效果介绍如下，欢迎拍砖。

注意：以下设置不适合那些驱动程序安装在drivers目录以外的应用软件。关于系统的安全防护，没有适用于所有用户的防护方案。因为每个用户安装的程序都不尽相同。这个帖子的目的只是抛砖引玉，提醒大家注意病毒驱动的防护。至于怎么做好自己系统的防护－－－－－每个用户自己考虑。。

1、设置“软件限制策略”，区别对待系统.sys与非系统.sys。

2、保护drivers目录下的文件免于更改。

3、特殊情况的处理－－－－IceSword的运行问题。

4、瑞星的自身防护问题。

5、上述方案对目前流行的两个病毒样本.sys加载的防护效果。此方案仅针对防止病毒驱动加载问题，禁止.sys以外的病毒文件的释放与运行等防护不在本帖讨论范围内。

6、补充说明：默认情况下，”软件限制策略“的”指派的文件类型“ 并不包括SYS，用户须自行添加：

7、补充说明：禁止恶意程序删除组策略相关设置

用户系统信息：Opera/9.51 (Windows NT 5.1; U; zh-cn)

超级游戏迷 - 2008-7-21 8:47:00

:kaka12: 坐沙发学习了

天月来了 - 2008-7-21 9:16:00

哈！！

很不错的防护策略。

经典的呀！！！！

baohe - 2008-7-21 9:23:00

引用:

原帖由 天月来了 于 2008-7-21 9:16:00 发表
哈！！

很不错的防护策略。

经典的呀！！！！

谢谢你指出我的通配符使用误解问题。
谢谢！

小电灯泡 - 2008-7-21 10:41:00

引用:

c:\*.sys
c:\*\*.sys

是没有区别的。

还有很多sys文件是在c:\windows\system32\目录下，比如ProtoDrv.sys（360ARP防火墙），WoptiHWDetect.sys（优化大师）....
还有些sys文件实在c:\program files\目录下，比如AntiArpNdisProt.sys、xAntiArp.sys（彩影软件 - ARP防火墙单机版）

版本这样的设置可能太绝对化，驱动更新可能也不能完成.不如使用驱动精灵进行系统驱动更新.

天月来了 - 2008-7-21 11:30:00

引用:

原帖由 小电灯泡 于 2008-7-21 10:41:00 发表

引用:

c:\*.sys
c:\*\*.sys

是没有区别的。

还有很多sys文件是在c:\windows\system32\目录下，比如ProtoDrv.sys（360ARP防火墙），WoptiHWDetect.sys（优化大师）....
还有些sys文件实在c:\program files\目录下，比如AntiArpNdisProt.sys、xAntiArp.s

c:\*.sys
c:\*\*.sys
是肯定有区别的。

C:\*.sys是指C盘根目录下的sys文件

C:\*\*.sys是指C盘内任意目录里的sys文件

当然，有了C:\*\*.sys就可以不要C:\*.sys了。

但是因为较多病毒都是选择C:\*.sys的加载方式，所以还是保留它为好。

那样，当安装什么软件时，尤其是需要在其他目录注入驱动的软件，可以临时取消C:\*\*.sys这项，保留的C:\*.sys可以继续阻止现在常见病毒的恶搞。

至于你说的其他目录里的sys文件问题，只能自己个人考虑操作了。

你的这个建议，猫版会在原贴给予新的提示的。

原本任何一种防护都有局限性的。

baohe - 2008-7-21 11:46:00

引用:

原帖由 小电灯泡 于 2008-7-21 10:41:00 发表

引用:

c:\*.sys
c:\*\*.sys

是没有区别的。

还有很多sys文件是在c:\windows\system32\目录下，比如ProtoDrv.sys（360ARP防火墙），WoptiHWDetect.sys（优化大师）....
还有些sys文件实在c:\program files\目录下，比如AntiArpNdisProt.sys、xAntiArp.s

谢谢你的讨论。
1、关于用户安装了某些程序，其驱动不在drivers目录下的问题，已经在主帖增加了提示。
2、c:\*.sys 与 c:\*\*.sys 有没有区别，自己动手试试就能搞清楚。
3、drivers目录下的驱动更新问题：更新前，暂时去掉瑞星的主动防御设置中相应规则前面复选框内的勾即可。更新后，再复选该规则。
4、关于系统的安全防护，没有适用于所有用户的防护方案。因为每个用户安装的程序都不尽相同。这个帖子的目的只是抛砖引玉，提醒大家注意病毒驱动的防护。至于怎么做好自己系统的防护－－－－－每个用户自己考虑。

闪电风暴 - 2008-7-21 13:27:00

现在病毒加载驱动的方法都太正规。
另外，病毒如果加载系统盘以外盘符内的驱动怎么办？

闪电风暴 - 2008-7-21 13:29:00

其实SSM拦截驱动方法就比较全，用SSM比WINDOWS自带的东西强多了。

baohe - 2008-7-21 15:40:00

引用:

原帖由 闪电风暴 于 2008-7-21 13:27:00 发表
现在病毒加载驱动的方法都太正规。
另外，病毒如果加载系统盘以外盘符内的驱动怎么办？

?:\*.sys （不允许的）
?:\**\*.sys （不允许的）
C:\windows\system32\drivers\*.sys （不受限的）

baohe - 2008-7-21 15:41:00

引用:

原帖由 闪电风暴 于 2008-7-21 13:29:00 发表
其实SSM拦截驱动方法就比较全，用SSM比WINDOWS自带的东西强多了。

SSM拦截目前这类病毒驱动－－－－－没有问题。
但能正确使用SSM的用户并不多。会用SSM的，又很少中毒。

spiritfire - 2008-7-21 20:40:00

学习了！SSDT被恢复之后，冰刃可以用的嘛？

闪电风暴 - 2008-7-22 11:33:00

IceSword的防护是Kernel Inline Hook，不依赖SSDT。
可以使用

闪电风暴 - 2008-7-22 11:39:00

ZwSystemDebugControl~~~~~~

Greenboy - 2008-7-22 12:30:00

学习了:default5:

spiritfire - 2008-7-22 19:28:00

引用:

原帖由 闪电风暴 于 2008-7-22 11:39:00 发表
ZwSystemDebugControl~~~~~~

通常是《瑞星》卡巴等杀软依赖SSDT！

郧喆 - 2008-7-24 11:49:00

非常感谢
杀完病毒后系统变慢,防火墙启动选项中---驱动分类中有20多个驱动加载那些可以禁止啊

中分 - 2008-7-24 13:01:00

又值的我们这些新手深思大半天了．:default3:

yumiki - 2008-7-25 15:54:00

受教了~~~~
支持斑竹们多出原创~~~~~

fairsentence - 2008-7-30 20:07:00

学习了，c:\windows\system32\drivers\*.sys不受限可以详细解释下吗？是可以在这个路径里的文件可以做任意操作吗？那*sys和C：\*\*sys为什么是不允许啊？

葬花￡飘香 - 2008-8-2 12:26:00

楼上的路径优先好东西啊

探路狮 - 2008-8-2 18:16:00

:default6: 这下是不是瑞星再也不会被病毒杀了呢?

叶陵君 - 2008-8-8 13:01:00

我想问下，用NTFS权限来禁止在drivers 下写入，修改文件，是不是可以起到同样的效果？
还有个问题是病毒驱动在各个目录有优先级吗？是不是这些驱动在注册表有自动运行的权利，在系统开启以后这些驱动都会被装入？

瑞星卡卡安全论坛