瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 针对恶意加密和恶意删除文件的保护措施

123   1  /  3  页   跳转

针对恶意加密和恶意删除文件的保护措施

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-27 11:36 | 只看楼主 短消息 资料
字号: 1楼

针对恶意加密和恶意删除文件的保护措施


最近发生的两件事使我不得不考虑如何解决硬盘中的现存文件安全问题。

一件是“天天泡泡”版主置顶帖中提到的那个删除硬盘文件的蠕虫( http://forum.ikaka.com/topic.asp?board=28&artid=7655128,2楼内容);另一件是入侵者通过给硬盘文件加密的卑劣手段敲诈用户钱财。
这两个案例涉及硬盘文件的删除/写入问题。
针对硬盘文件的删/写安全问题,事先采取点儿防护措施如何?将重要文件刻录成光盘当然是一个不错的办法。可是我这个人比较懒惰,虽然也置办了刻录机,但就没刻过几张盘。
还是用懒人的懒办法——用TFP2005的“文件保护”。试了一下,结果似乎还算满意。之所以说“结果似乎还算满意”,是因为这个措施还未经过实际的网络入侵检验,下面只是我自己在系统中初步试验的结果。

详细介绍一下这条防护措施及其防护效果吧。

1、在TPF2005的File Protection(文件保护)中设置一条expert rule(专家规则,高优先权,见图1)。expert rule是个什么东东?我还没细究这个问题,先这么用吧(有点儿不求甚解)。

图1

附件附件:

下载次数:353
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-27 11:36:56
描述:
预览信息:EXIF信息



最后编辑2006-02-01 19:04:36
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-27 11:38 | 只看楼主 短消息 资料
字号: 2楼

2、我的硬盘只有两个分区。系统及应用程序在C盘,有GHOST备份(备份放在D盘)。因此,这条规则只是针对我的D盘。D盘中的Mydoc目录是我的重要文件;Program File目录则是存放系统GHOST备份的地方。这两个目录必须保护起来。

附件附件:

下载次数:346
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-27 11:38:17
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-27 11:39 | 只看楼主 短消息 资料
字号: 3楼

3、管用吗?考查一下。将“资源管理器”复制到D:\Program Files\Norton SystemWorks\Norton Ghost目录下,然后删除它。
不让删,且TPF2005报警。

附件附件:

下载次数:363
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-27 11:39:21
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-27 11:39 | 只看楼主 短消息 资料
字号: 4楼

4、重新命名一个Mydoc目录中的word文档——也不让,且TPF2005报警。

附件附件:

下载次数:356
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-27 11:39:54
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-27 11:40 | 只看楼主 短消息 资料
字号: 5楼

5、编辑这个word文档(在尾部加几个空格),然后保存——也不让,且TPF2005报警。

初步试验结果还算满意。

附件附件:

下载次数:364
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-27 11:40:57
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-27 11:42 | 只看楼主 短消息 资料
字号: 6楼

6、有人可能会问:如果用户自己需要删除或编辑这些目录中的文件怎么办?有办法:删除或编辑前,先暂时关闭TPF2005的WINDOWS SECURITY即可。

附件附件:

下载次数:341
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-27 11:42:52
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-27 11:43 | 只看楼主 短消息 资料
字号: 7楼

7、编辑/删除操作完成后,不要忘记重新启用TPF2005的WINDOWS SECURITY。否则,就没有这种保护了!

另一个可能提到的“根本”问题是——如果有黑客钻透了TPF并先关闭了其WINDOWS SECURITY会怎么样?
那还能怎么样?我的系统死呗。但话说回来——钻透TPF并关闭其组件也不是件容易的事。

附件附件:

下载次数:337
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-27 11:43:49
描述:
预览信息:EXIF信息
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2006-01-27 15:29 | 短消息 资料
字号: 8楼

呵呵,baohe又辛苦了。
年后在安全版为TPF写一篇中级教程吧,初级的我来写,呵呵。
gototop
 
菜菜飞翔
头像
初生襁褓狮
  • 帖子:164
  • 注册: 2005-07-16
  • 来自:
发表于: 2006-01-27 15:58 | 短消息 资料
字号: 9楼

偶没啥重要文件
只是把WINDOWS,和SYSTEM32文件夹设为 不让在里面创建,修改,删除exe,dat,dll等文件,碰到些流氓软件和一些木马还是有效果
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-27 16:05 | 只看楼主 短消息 资料
字号: 10楼

引用:
【菜菜飞翔的贴子】偶没啥重要文件
只是把WINDOWS,和SYSTEM32文件夹设为 不让在里面创建,修改,删除exe,dat,dll等文件,碰到些流氓软件和一些木马还是有效果
...........................

建议你再加上“禁止删除%system%\drivers下的.sys”。万一这些驱动文件被删了——也够你喝一壶的!
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT