瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 文件的完整性保护:一个不容忽视的防护措施

12   1  /  2  页   跳转

文件的完整性保护:一个不容忽视的防护措施

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-18 15:43 | 只看楼主 短消息 资料
字号: 1楼

文件的完整性保护:一个不容忽视的防护措施

观察“新版灰鸽子”感染系统后,再打开OPERA浏览器或IceSword,我的SSM总是报告:程序已经不是原来的程序(尽管程序名相同)。查看这两个程序的MD5值(checksum;校验和),发现MD5已经被改动了!

我的TPF2005有文件完整性保护啊,怎么会发生这种事情?汗!!

打开Administration Center中的My Application,一一查看各应用程序的防护规则,结果发现:OPERA和IceSword的规则中居然没有选择“integrty corruption protection”(文件完整性破坏防护)。汗!设置防护规则时居然漏掉了这两个常用的应用程序!!

没办法,只好用GHOST备份恢复系统盘。重新设置OPERA和IceSword的文件保护规则(见附图)。再运行那个“新版灰鸽子”,然后,自己动手删除它。最后,再尝试打开OPERA和IceSword,SSM不再报警了。

至此,问题解决了。

木马的入侵手段花样不断翻新,改动正常应用程序文件就是一例。由此可见,我们应当采取有效措施,落实系统基础防护工作的方方面面。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-18 15:43:59
描述:



最后编辑2005-10-13 20:36:31
分享到:
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-09-18 15:45 | 短消息 资料
字号: 2楼

3Q~~~~收了,我现在下班了,明天再来细细看~~~~~~~~~~~~~
祝大家节日快乐,电脑少中毒~~让baohe大哥休息一下~~~~~
拜拜~~~~~~~~~~
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-09-18 15:46 | 短消息 资料
字号: 3楼

开Administration Center中的My Application,一一查看各应用程序的防护规则,结果发现:OPERA和IceSword的规则中居然没有选择“integrty corruption protection”(文件完整性破坏防护)。汗!设置防护规则时居然漏掉了这两个常用的应用程序!!
ICE这个规则在哪??/
gototop
 
獅子王
头像
初生襁褓狮
  • 帖子:82
  • 注册: 2005-07-16
  • 来自:
发表于: 2005-09-18 16:21 | 短消息 资料
字号: 4楼

我的SSM总是报告:elplorer.exe程序已经不是原来的程序(尽管程序名相同)。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-18 16:37 | 只看楼主 短消息 资料
字号: 5楼

引用:
【独孤豪侠的贴子】开Administration Center中的My Application,一一查看各应用程序的防护规则,结果发现:OPERA和IceSword的规则中居然没有选择“integrty corruption protection”(文件完整性破坏防护)。汗!设置防护规则时居然漏掉了这两个常用的应用程序!!
ICE这个规则在哪??/
...........................


抱歉哈!没说清楚。
我说的是TPF2005的防护规则中(看图),关于“OPERA和IceSword”的文件完整性保护问题。ICESWORD本身没有文件完整性保护规则。
gototop
 
子阳
头像
雄霸杖朝狮
  • 帖子:14755
  • 注册: 2004-04-13
  • 来自:
发表于: 2005-09-18 16:48 | 短消息 资料
字号: 6楼

学习了.
gototop
 
cora1
头像
初生襁褓狮
  • 帖子:195
  • 注册: 2005-08-02
  • 来自:
发表于: 2005-09-18 17:37 | 短消息 资料
字号: 7楼

斑竹哥哥可以说的在通俗些吗,偶这样的菜鸟看8懂哈

在哪,怎么设置文件完整性破坏防护啊

555555555555
gototop
 
cora1
头像
初生襁褓狮
  • 帖子:195
  • 注册: 2005-08-02
  • 来自:
发表于: 2005-09-18 17:39 | 短消息 资料
字号: 8楼

还有SSM素什么东东啊
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-18 17:51 | 只看楼主 短消息 资料
字号: 9楼

引用:
【cora1的贴子】斑竹哥哥可以说的在通俗些吗,偶这样的菜鸟看8懂哈

在哪,怎么设置文件完整性破坏防护啊

555555555555
...........................


TPF2005——一个性能很好,但设置很复杂的防火墙;SSM一个“应用程序”防火墙,设置也要自己慢慢熟悉。
以我目前的水平,还没法用通俗的语言来描述这两个软件的使用问题。
其它具有MD5校验的安全软件也可以试试(虽然我没用过)。对于新手来说,TPF2005毕竟过于复杂,难以驾驭。
gototop
 
流浪猫猫
头像
强壮不惑狮
  • 帖子:889
  • 注册: 2004-09-09
  • 来自:
发表于: 2005-09-18 17:57 | 短消息 资料
字号: 10楼

唉~~~百密终有一疏!!防不胜防啊!!
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT