瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 主动防御中FD以及RD需要注意的地方

1   1  /  1  页   跳转

主动防御中FD以及RD需要注意的地方

主动防御中FD以及RD需要注意的地方

Windows启动时通常会有一大堆程序自动启动。我们小菜不要以为管好了“开始程序启动菜单”和看看RUN等等几个注册表键就万事OK,实际上,在Windows XP/2K中,让Windows自动启动程序的办法很多,下面是最重要的两个文件夹和几个注册键。



   一、当前用户专有的启动文件夹

  
这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\“开始”菜单\程序\启动,其中“<用户名字>”是当前登录的用户帐户名称。



  二、对所有用户有效的启动文件夹

这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and Settings\ All Users\“开始”菜单\程序\启动。



  三、Load注册键

  介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT \CurrentVersion \Windows \load。



  四、Userinit注册键

  位置:HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft \Windows NT\ CurrentVersion\ Winlogon\ Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe,如图一,但这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,OSA.exe”(不含引号)。



  五、Explorer\Run注册键

  和load、Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion\ Policies\ Explorer\ Run,和HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft \Windows\ CurrentVersion \Policies\ Explorer\Run。



  六、RunServicesOnce注册键

  RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion\ RunServicesOnce,和HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Windows \CurrentVersion \RunServicesOnce。



  七、RunServices注册键

  RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER \Software\Microsoft \Windows \CurrentVersion \RunServices,和HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices。



  八、RunOnce\Setup注册键

  RunOnce\Setup指定了用户登录之后运行的程序,它的位置是:HKEY_CURRENT_USER \Software \Microsoft\Windows \CurrentVersion \RunOnce\Setup,和HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunOnce\Setup。



  九、RunOnce注册键

安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunOnce和HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。XP还需要检查一下HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunOnceEx。



  十、Run注册键

Run是自动运行程序最常用的注册键, HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前,它在注册表中对应的项是:


  HK_USERS \Default\ Software \Microsoft \Windows \CurrentVersion \Run
  HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
HKEY_CURRENT_USER \Software \Microsoft\ Windows \CurrentVersion\ Run




十一、服务项
  WINDOWS的服务实际上也是一种程序,不过它总是运行在后台,没有界面,我们一般看不到它。它随系统的启动而启动,比自启动项更为优先。它在注册表中对应的项是:
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
 
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
 
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vxd
后两项包括服务和驱动,内核模块的加载
  其下面每一个子项代表一个服务。当前许多木马和流氓软件都采用了服务和自启动双重启动方式来激活自己,并且二者相互保护,相互修复,使得我们很难清除它们。而正常情况下,服务项除了在安装部分程序会用到外,平时是不会新增的哦
十二.WINLOGON系列

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon-Shell
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon- Notify
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon -Userinit
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon -UIHost
      以及HKCU下的同名项目
这些是系统登陆时,自启动相关的一些注册表建和value name

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GinaDLL
这项没有搞清是干什么用的,我的SP3上也没有发现这项,先保留着


十三.Session Manager
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager- BootExecute
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager- BootExecute
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager- BootExecute
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDlls
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\KnownDlls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDlls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment- Compec
其中,BootExecute的值指定的程序只能调用Native API,是最基本的WINDOWS应用程序

******此处,可能有两个CurrentControlSet


十四.COMMAND PROCESSOR
HKCU\Software\Microsoft\Command Processor-AutoRun
这里AutoRun的值指定为程序后,自动启动在CMD进程之前,可以是没有GUI界面的程序,隐蔽性不错


十五.LSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa-Authentication Packages
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa-Notification Packages
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa-Security Packages
这三个VALUENAME指定程序必须是动态链接库DLL形式,LSA是本地安全认证相关的.

十六.屏幕保护
HKEY_CURRENT_USER\Control Panel\Desktop-SCRNSAVE.EXE *注意这是一个VALUENAME
由于SCR文件也是一种可执行文件,可以把EXE直接改成SCR运行,这里的值如果被设置为假冒为屏保的SCR木马,
那么当下次系统触发屏幕保护时会被动启动

十七.Explorer
HKEY_LOCAL_MACHINE\Software\Classes\PROTOCOLS\Filter
HKEY_LOCAL_MACHINE\Software\Classes\PROTOCOLS\Handle
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers

十八.WOW
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW-cmdline
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW-wowcmdline
WOW=Windows ON Windows(不是魔兽世界。。。)
这项技术使得我们使用XP等NT系统内核的操作系统上,可以运行那些为旧的操作系统开发的程序,这样我们甚至
可以运行WINDOWS3.2的计算器,WIN98的画图,WINPOPUP等
这两个VALUENAME的值,应该是可以改为木马病毒的程序,但是需要等待被动启动



文件夹

1、系统盘根目录。
  系统盘根目录主要存放一些引导文件和系统子目录。系统安装好之后,一般不会再向根目录下新建任何文件,正常的应用程序一般也不会向根目录新建文件,对用户来讲,如果想保持系统良好运行,也不应当在系统盘根目录下创建文件,所以,系统盘根目录可以设定为禁止创建任何文件,以防病毒藏身于此。

2、Program Files
  这个是应用程序目录,一般的应用程序默认都是安装在这个目录下,新建一个文件夹来存放自己的文件,所以,根目录下应该不会有文件,各子目录在程序安装好之后,一般也不会再新建文件,因此在正常情况下,这个目录可以设为禁止创建文件。但在安装程序时,一定要放开控制。
  有部分程序需要在自己的安装目录写一些配置信息,或更新程序,可以为其添加例外规则,使其可以正常运行。

如QQ宠物
3、Documents and Settings
  这个目录主要用来存放一些用户文件及信息。在此目录下面有以用户为名称的子目录,在各个用户目录下,有我的文档、收藏夹、临时文件、IE脱机文件、历史文件等。这些信息是经常更新的,因此不能简单地将其设为禁止写入。

  (1)我的文档(My Documents)和桌面。
        我的文档用来存放用户的资料数据,各种类型的文件都可能建立,所以应当放开控制,当然,每个用户习惯不同,也可以根据自己的习惯,适当加以控制。桌面也是我们经常放一些临时性文件的地方,为了方    便,也可以将其放开。

  (2)收藏夹(Favorites)。
收藏夹中只存放链接文件,即扩展名为url的文件,因此我们可编制规则,让这个目录下只允许创建.url文件。当然,还得允许创建目录,因为收藏夹的内容需要分类。这时,“忽略目录”这个选项就可以派上用场,具体用法可以参考“规则集锦”。
  (3) Cookies目录。
  这个目录仅存放文本文件,且不需要子目录,所以只要仅允许创建.txt文件就可以了。
  (4) 最近的文档 (Recent)。
  这个目录存放的是最近打开文档的快捷方式,因此,只允许其创建.lnk即可。
  (5)历史目录(Local Settings\History)
  正常情况下,历史目录只会创建index.dat文件,放于不同的子目录,用来保存历史信息。因此,对这个目录的控制就是只允许创建index.dat文件和文件夹,其他一律阻止。
  (6)IE脱机文件和用户临时文件。
  C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temp
这两个目录经常有文件写入,因此不能禁止创建文件,但一般情况下不会有可执行文件写入,因此可以将可执行文件的几个类型过滤,最大程度地防止病毒木马的入侵。
 
  其他目录在正常情况下,一般不会有文件创建,因此,可以设为创建阻止。

4、WINDOWS目录
  WINDOWS的系统安装目录,此目录与其下面的子目录system32,以及drivers目录是病毒和木马最喜欢的藏身之处。在正常情况下,这里除个别日志和临时文件外,不会创建其他文件,因此可以将这个文件夹也设为禁止创建文件,但要首先将几个常用的临时文件和日志文件设为允许创建。
  在安装程序时,许多应用程序都需要在这个目录下或相关子目录下写入一些文件,因此,在安装程序时,这个目录应该允许创建文件。
  另外,这里也有一个临时目录,WINDOWS\Temp,需要经常写入文件,因此这个目录也要允许创建文件,但可以将几种可执行文件过滤掉。
  WINDOWS目录是一个非常复杂的目录,操作系统的各个程序都可能在这里创建文件,将其禁止创建文件,往往会造成许多系统程序运行有误,但不禁止,又给许多木马、病毒造成可乘之机。因此建议先将其禁止创建文件,在遇到某应用程序运行有误时,再进行适当调整


    5、System Volume Information
  此目录是系统备份使用的目录,属于系统目录,在正常情况下隐藏不可见。其所放文件有一定规律,不会有可执行文件产生,因此可以对其进行文件类型过滤,禁止创建可执行文件。
6、回收站
  回收站目录也是系统目录,真实的目录名是RECYCLED或RECYCLER RECYCLED.BIN,其中RECYCLED是FAT32文件系统所用名称,RECYCLER 是NTFS文件系统所用目录。在正常情况下此目录也是隐藏的。在这个目录下,还会以用户代号创建一个文件,用来存放被用户删除的文件。删除后的文件一律更名为以D打头的文件。因此,这个目录可以仅允许创建以D打头的文件。


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; TheWorld)
本帖被评分 1 次
最后编辑天云一剑 最后编辑于 2008-07-16 15:54:11
分享到:
gototop
 

回复:主动防御中FD以及RD需要注意的地方

慢慢地添加规则,不用一次都添全,实践出真知
这些文件夹,添加到瑞星主动防御不是很难的
注册表项是多了些default7:
最后编辑天云一剑 最后编辑于 2008-07-18 15:58:36
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 

回复:主动防御中FD以及RD需要注意的地方

自己UP。。。
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 

回复:主动防御中FD以及RD需要注意的地方

没有?一些安装程序会用到,可能会自动创建吧

文件得规则,瑞星主动防御可以实现得
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT