驱动程序.sys的管理问题
最近,通过恢复SSDT,废掉杀软等安全工具的病毒流行。中招后,这类病毒给用户造成不小的麻烦。目前为止,这些病毒恢复SSDT,基本上都是通过加载一个病毒驱动.sys实现的。只要不让病毒驱动加载,即使中招了,处理起来也方便得多。
因此,如何恰当管理系统驱动程序,不给这类病毒留下可钻的空子,是每个用户应该考虑的问题。
这里,我将自己使用“软件限制策略”和瑞星“主动防御”设置对付这类病毒.sys的方案及其防护效果介绍如下,欢迎拍砖。
注意:
以下设置不适合那些驱动程序安装在drivers目录以外的应用软件。关于系统的安全防护,没有适用于所有用户的防护方案。因为每个用户安装的程序都不尽相同。这个帖子的目的只是抛砖引玉,提醒大家注意病毒驱动的防护。至于怎么做好自己系统的防护-----每个用户自己考虑。。1、设置“软件限制策略”,区别对待系统.sys与非系统.sys。
2、保护drivers目录下的文件免于更改。
3、特殊情况的处理----IceSword的运行问题。
4、瑞星的自身防护问题。
5、上述方案对目前流行的两个病毒样本.sys加载的防护效果。此方案仅针对防止病毒驱动加载问题,禁止.sys以外的病毒文件的释放与运行等防护不在本帖讨论范围内。
6、补充说明:默认情况下,”软件限制策略“的”指派的文件类型“ 并不包括SYS,用户须自行添加:
7、补充说明:禁止恶意程序删除组策略相关设置
用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
