1   1  /  1  页   跳转

Tiny之比较BT的防护设置

Tiny之比较BT的防护设置

一、系统背景:

电脑是纽曼朗月A,比较低端的配置。

系统是XPSP3。系统及应用程序均安装在C盘。

安装完系统及应用程序后,用tuneup2009整理系统分区,RIS2010全盘查杀一遍。无毒,即刻开始Tiny的设置。


二、防护方案的主旨:
本机程序经过安全检验无问题,因此一律注册到Trusted组;常被病毒利用的系统程序注册到OS_Critical组。
Trusted组可以启动任何程序(包括OS_Critical组的程序),其它程序不能启动任何程序。

对Trusted组内程序的文件访问、注册表操作、DLL加载、服务操作、系统权限的获取等不加限制。
禁止其它程序的文件访问、注册表操作、DLL加载、服务操作、系统权限的获取。

三、防护方案的实现:


1、C盘中安装的应用程序:
图0


2、程序分组:
(1)Trusted(信任组):包含C盘内的所有.exe程序
(2)Os_Critical(操作系统关键程序):包括cmd.exe、cacls.exe、fsutil.exe、format.com、cscript.exe、wscript.exe等病毒常利用的系统程序。
这步操作需细致、耐心。不要搞错。需要注册的程序虽多,但Tiny支持批量注册,实际操作并不困难。
图1-图2





3、Tiny规则设置————程序启动控制

图3


4、Tiny规则设置————文件访问控制

图4


5、Tiny规则设置————注册表操作控制


图5


6、Tiny规则设置————库文件加载控制

图6



7Tiny规则设置————服务操作控制

图7


8、Tiny规则设置————系统权限控制


图8



9、Tiny规则设置————设备访问控制

图9



四、用户的使用及其防护效果:


遇到非本机程序启动,Tiny均弹出对话框询问。此时用户若对该程序的安全性不了解,可以选择“以其自身的安全特性运行”或以“追踪回滚模式”运行(为安全起见,追踪回滚运行非本机程序时,一律在全影子模式系统下进行)。这样的程序只在Tiny中注册,但不会进入任何程序组。
经过追踪回滚查清程序的安全性后,若是正常程序,可以注册到Trusted组;若是病毒木马,选择“以其自身的安全特性运行“时,基本无法运行。(测试了1个多月,各种近期流行的病毒样本近150个。)

注册为Trusted的所有程序均可正常运行。






用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
最后编辑baohe 最后编辑于 2009-08-27 07:07:55
分享到:
gototop
 

回复: Tiny之比较BT的防护设置



引用:
原帖由 smallyou93 于 2009-8-26 23:56:00 发表
baohe叔的规则很强大,也很巧功夫。

不过,给Tracking组这么大的权限,病毒把tiny的服务关闭或结束tiny的进程。虽然说在全影..


tracking运行程序,恐怕只能这样。否则,无法观察程序运行的全貌,也就无从判断其中是否有恶意程序。

对于tracking组高权限可能引发的灾难性后果,我是有拯救措施的。

1、D盘有系统GHOST备份(所以才特别在意D盘的文件防护规则设置)。
2、即使有能绕过Tiny防护规则或直接关闭Tiny进程,删除D盘文件的病毒,也有措施应对。系统的GHOST备份还有光盘版和U盘版。
3、即使遇到“猪头三”之类破坏硬盘分区表的病毒,且病毒绕开了Tiny防护完整运行了,也有相应的拯救手段。(出于众所周知的原因,这个,就不细讲了。)
最后编辑baohe 最后编辑于 2009-08-27 14:37:31
gototop
 

回复: Tiny之比较BT的防护设置



引用:
原帖由 两个铁球 于 2009-9-2 13:29:00 发表
对kmx-u2k.sys及其它tiny的*。sys们,老BOEHE有什么高招进行保护吗?
来个木马,把tiny的几个sys干掉,服务停掉,不是什么都完了吗?

还有,远程登录并取得管理员权限,还不是想停你的tiny的什么保护都行!!!!!


这个,应该通过实际测试,才有结论。请发一个这样的病毒样本。
gototop
 

回复: Tiny之比较BT的防护设置



引用:
原帖由 两个铁球 于 2009-9-2 14:05:00 发表
似乎baohe历来对Applications很在意,对Dll-s关注、设置不多啊?
好像对于仅仅要求自己的电脑“不中毒”的安全要求者而言,设条规则,对10来个最基本的dll-s管好就行了。


----对trusted成员,对加载基本的dll们一律允许并不记载,其他的一律提问并记载。规则在非系统帐户下运行。


你没注意“程序分组”以及程序组中的程序。也没注意规则中对Tursted组和其它程序加载DLL的区别对待。

这些规则设置问题,泛泛谈论,没什么意义。你要动手设置好,然后,运行本机内的各应用程序以及N多各式各样的病毒样本。最后,自然有结论(本机程序运行无妨,“以其自身安全特性”或“追踪回滚”模式运行病毒程序---基本不能运行。想在影子或虚拟机的保护下以追踪回滚模式观察病毒程序运行全貌,可以通过规则前的复选框操作,改变生效规则的搭配即可。)
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT