由“硬链接”问题谈RIS2010加入系统关键程序MD5监控的必要性
RIS2010(22.00.00.53版本)仍然不监控关键系统程序的MD5。
今天,又见网友提到利用fsutil建立硬链接问题。
RIS2010倒是保护自己了,但仍不保护XP的关键系统程序。
也许RIS2010认为这是微软的事情,自己管不着。但,帮用户监控一下常用的系统关键程序的MD5,还是应该可以做到的吧?
比如,目前的状况,XP的wuauclt.exe就暴露在硬链接的威胁下:
1、先这样设置了RIS2010的“系统加固”:
2、利用fsutil建立wuauclt.exe的硬链接——————成功,RIS2010根本不理会(上图的“系统加固”设置成拒绝,结果也相同):
3、若再在c:\放个RIS2010检测不到的病毒vir.exe,接着用cmd来个:copy c:\vir.exe c:\1.exe /y,WINDOWS的自动更新程序就在RIS2010的保护之下悄悄地被病毒替换掉了。
4、如果这时候用户启用windows update,RIS2010又没有校验wuauclt.exe的MD5,用户中毒就是必然的了。
如果考虑到加入程序MD5监控会拖慢RIS2010的运行速度,至少可以向TINY这样:给用户一个选择————如果愿意监控系统程序的MD5,那就自己设置(程序的MD5被更改时提示用户):
另加上一条提示:“程序升级或更新系统后,请及时刷新相应程序的MD5值。”
作为例子,附上TINY的实测结果(此时用户还有最后一个避免中招的机会————点击“deny”):
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1