再谈安全软件程序分组功能的意义
瑞星主防没有程序分组功能,以前已经提过,并希望瑞星2009能加入此功能。
安全软件的程序分组管理并非可有可无的“花瓶”,而确实有实用价值。
现以流行的一个木马为例,以Tiny的程序分组+基于程序分组的防护规则为例说明“程序分组管理确实可便于用户设置相应的防护规则”。
此木马的详细分析见:
http://bbs.ikaka.com/showtopic-8545588.aspx下面是Tiny的程序分组+基于程序分组的防护规则的实际防护效果(图1)
此马有恢复SSDT的功能。但是,有了TinyTiny的程序分组+基于程序分组的防护规则,此马未能恢复SSDT(图2)
与此防护规则相关的程序组有:(1)My-Apps:包含我本本中的所有应用程序及系统程序(.exe);(2)Key_Dlls:包括comctl32.dll、user32.dll和ntdll.dll。
防护规则之一:允许My-Apps组加载Key_Dlls组中的dll(图3)
防护规则之二:禁止其它任何程序My-Apps组加载Key_Dlls组中的dll(图4)
就这样,在Tiny程序分组的基础上,凭借两条简单的防护规则,就将这个绕过windows文件保护替换系统程序wuauclt.exe、beep.sys且穿还原软件的木马搞死了。
用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
