瑞星卡卡安全论坛

一、系统背景：

电脑是纽曼朗月A，比较低端的配置。

系统是XPSP3。系统及应用程序均安装在C盘。

安装完系统及应用程序后，用tuneup2009整理系统分区，RIS2010全盘查杀一遍。无毒，即刻开始Tiny的设置。


二、防护方案的主旨：
本机程序经过安全检验无问题，因此一律注册到Trusted组；常被病毒利用的系统程序注册到OS_Critical组。
Trusted组可以启动任何程序（包括OS_Critical组的程序），其它程序不能启动任何程序。

对Trusted组内程序的文件访问、注册表操作、DLL加载、服务操作、系统权限的获取等不加限制。
禁止其它程序的文件访问、注册表操作、DLL加载、服务操作、系统权限的获取。

三、防护方案的实现：


1、C盘中安装的应用程序：
图0


2、程序分组：
（1）Trusted（信任组）：包含C盘内的所有.exe程序
（2）Os_Critical（操作系统关键程序）：包括cmd.exe、cacls.exe、fsutil.exe、format.com、cscript.exe、wscript.exe等病毒常利用的系统程序。
这步操作需细致、耐心。不要搞错。需要注册的程序虽多，但Tiny支持批量注册，实际操作并不困难。
图1-图2





3、Tiny规则设置————程序启动控制

图3


4、Tiny规则设置————文件访问控制

图4


5、Tiny规则设置————注册表操作控制


图5


6、Tiny规则设置————库文件加载控制

图6



7Tiny规则设置————服务操作控制

图7


8、Tiny规则设置————系统权限控制


图8



9、Tiny规则设置————设备访问控制

图9



四、用户的使用及其防护效果：


遇到非本机程序启动，Tiny均弹出对话框询问。此时用户若对该程序的安全性不了解，可以选择“以其自身的安全特性运行”或以“追踪回滚模式”运行（为安全起见，追踪回滚运行非本机程序时，一律在全影子模式系统下进行）。这样的程序只在Tiny中注册，但不会进入任何程序组。
经过追踪回滚查清程序的安全性后，若是正常程序，可以注册到Trusted组；若是病毒木马，选择“以其自身的安全特性运行“时，基本无法运行。（测试了1个多月，各种近期流行的病毒样本近150个。）

注册为Trusted的所有程序均可正常运行。






用户系统信息：Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

:kaka1: baohe叔的规则很强大，也很巧功夫。

:kaka2: 不过，给Tracking组这么大的权限，病毒把tiny的服务关闭或结束tiny的进程。虽然说在全影..

tracking运行程序，恐怕只能这样。否则，无法观察程序运行的全貌，也就无从判断其中是否有恶意程序。

对于tracking组高权限可能引发的灾难性后果，我是有拯救措施的。

1、D盘有系统GHOST备份（所以才特别在意D盘的文件防护规则设置）。
2、即使有能绕过Tiny防护规则或直接关闭Tiny进程，删除D盘文件的病毒，也有措施应对。系统的GHOST备份还有光盘版和U盘版。
3、即使遇到“猪头三”之类破坏硬盘分区表的病毒，且病毒绕开了Tiny防护完整运行了，也有相应的拯救手段。（出于众所周知的原因，这个，就不细讲了。）

估计实机运行病毒，也只能如此备份。


而我在虚拟机运行tiny，tiny的规则一方面是监控系统所有文件的变化（MD5+路径，监控完整性损坏），设立新组，监控dllcache文件下的变化（是否被病毒篡改或被替换）；


一方面是调低追踪组的权限以保护自身。

估计能折腾tiny如此也没几位了：一个是baohe叔，一个是hotboy，一个是绅岚的tearstain(明媚)，一个是两个铁球，还有几个高手，名字就不可得知了。。


可惜的是hotboy师父离开了，唉..

还有开发此程序的那些人:kaka12:

wo you buneng da hanzi le!!!!!!!!!



不错 ! 但是我不一定会按你的这个思路去做。.
TINY，其最大的优点就是任你D-I-Y，个人尽可能的按自己奇思妙想去设置。
:kaka13: :kaka12:

怎么老是经常没法在这卡卡论坛里打汉字？等哪天有闲功夫，也能打汉字时，也把俺们的设置放上来请各位批评批评吧。

对kmx-u2k.sys及其它tiny的*。sys们，老BOEHE有什么高招进行保护吗？
来个木马，把tiny的几个sys干掉，服务停掉，不是什么都完了吗？

还有，远程登录并取得管理员权限，还不是想停你的tiny的什么保护都行！！！！！

对设备的保护中，怎么不把光驱管住呢？

对trusted组中成员，为什么不全部设成checksam&path 保护？你就不怕病毒对它们改写或插入？

其中成员壹千肆佰多个，你嘿我！真实高人的电脑！装多少软件呀？偶也就200-300个吧。

似乎baohe历来对Applications很在意，对Dll-s关注、设置不多啊？
好像对于仅仅要求自己的电脑“不中毒”的安全要求者而言，设条规则，对10来个最基本的dll-s管好就行了。


----对trusted成员，对加载基本的dll们一律允许并不记载，其他的一律提问并记载。规则在非系统帐户下运行。

这个，应该通过实际测试，才有结论。请发一个这样的病毒样本。

你没注意“程序分组”以及程序组中的程序。也没注意规则中对Tursted组和其它程序加载DLL的区别对待。

这些规则设置问题，泛泛谈论，没什么意义。你要动手设置好，然后，运行本机内的各应用程序以及N多各式各样的病毒样本。最后，自然有结论（本机程序运行无妨，“以其自身安全特性”或“追踪回滚”模式运行病毒程序－－－基本不能运行。想在影子或虚拟机的保护下以追踪回滚模式观察病毒程序运行全貌，可以通过规则前的复选框操作，改变生效规则的搭配即可。）

我这里是说对于一般的用户，仅仅只求不中毒，不让病毒木马运行的安全诉求而言，最简单的做法；并没说你这种专业级的测试病毒木马的人所要的设置。对于你上面各楼所说的，并没有什么不同意。

远程登录这些的,根本不用管,稍微强悍一点点的墙都拦截了...

又不是服务器,相信没有人吃饱饭没事做会去攻击你啊...

至于那些样本,相信死牛就是最好的试验品

附件: 1.png

附件: 2.png

附件: 3.png

附件: 4.png

我选用CA HIPS的原因有:
1.修复Tiny的几处bug,不用烦
2.把文件路径都集中在一个目录,还是不用烦
3.里面有一个组,Product Application,是CA HIPS 程序的默认组,这个组是不可见的,权限比任何信任组还要大,所以设自我保护规则的时候,不用顾虑CA HIPS的自身访问


虽然比旧版本为慢,不过安装的时候去掉这个设置就行了

:kaka1:

该用户帖子内容已被屏蔽