瑞星卡卡安全论坛企业产品讨论区瑞星2010新品体验挑战专区上网本评测专区 由“硬链接”问题谈RIS2010加入系统关键程序MD5监控的必要性

1   1  /  1  页   跳转

由“硬链接”问题谈RIS2010加入系统关键程序MD5监控的必要性

由“硬链接”问题谈RIS2010加入系统关键程序MD5监控的必要性

RIS2010(22.00.00.53版本)仍然不监控关键系统程序的MD5。

今天,又见网友提到利用fsutil建立硬链接问题。 

RIS2010倒是保护自己了,但仍不保护XP的关键系统程序。

也许RIS2010认为这是微软的事情,自己管不着。但,帮用户监控一下常用的系统关键程序的MD5,还是应该可以做到的吧?

比如,目前的状况,XP的wuauclt.exe就暴露在硬链接的威胁下:


1、先这样设置了RIS2010的“系统加固”:

2、利用fsutil建立wuauclt.exe的硬链接——————成功,RIS2010根本不理会(上图的“系统加固”设置成拒绝,结果也相同):




3、若再在c:\放个RIS2010检测不到的病毒vir.exe,接着用cmd来个:copy c:\vir.exe  c:\1.exe  /y,WINDOWS的自动更新程序就在RIS2010的保护之下悄悄地被病毒替换掉了。

4、如果这时候用户启用windows update,RIS2010又没有校验wuauclt.exe的MD5,用户中毒就是必然的了。

如果考虑到加入程序MD5监控会拖慢RIS2010的运行速度,至少可以向TINY这样:给用户一个选择————如果愿意监控系统程序的MD5,那就自己设置(程序的MD5被更改时提示用户):




另加上一条提示:“程序升级或更新系统后,请及时刷新相应程序的MD5值。”


作为例子,附上TINY的实测结果(此时用户还有最后一个避免中招的机会————点击“deny”):




用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
最后编辑baohe 最后编辑于 2009-07-29 16:39:32
分享到:
gototop
 

回复: 由“硬链接”问题谈RIS2010加入系统关键程序MD5监控的必要性



引用:
原帖由 tom2000 于 2009-7-29 16:46:00 发表
这样安全是安全了但是兼容性问题就凸显了,而且瑞星必须要及时更新UPDATE数据.

所以加上这个功能应该直接监视UPDATE更新,然后在考虑加上MD5的问题,否则有了MD5估计很多用户都不会用瑞星了...



用户方面:

若RIS2010将MD5监控作为选择性设置,用户应该可以接受。愿意设的就设;不愿意设的,拉倒。

瑞星方面:
这样做可能比较麻烦。
若不用MD5监控,而用其它手段搞掂这个问题,也可以。
但不能坐视不管。

系统程序,还好说。如果用户事先执行过sfc /scannow,遇到这种情况,WINDOWS会报警。如果病毒作者不搞系统程序,而是改变策略——搞QQ等应用软件的程序呢?结果不还是用户遭殃啊。
最后编辑baohe 最后编辑于 2009-07-29 17:01:23
gototop
 

回复: 由“硬链接”问题谈RIS2010加入系统关键程序MD5监控的必要性



引用:
原帖由 hymwxm 于 2009-7-30 15:46:00 发表
主动防御做好即可


主动防御并不能包治百病。

即使防住了系统自身的fsutil,也未必能根本解决这个问题(病毒作者可以写出类似的自带工具)。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT