巴黎豆豆 2008-3-22 19:02
RD注册表防护规则编制(1)
注册表保护与应用程序保护有所不同,EQSecure默认情况下不拦截对注册表的各种操作.所以,对注册表保护规则的添加不再能利用询问窗口自动进行,而是需要我们手动进行添加.注册表保护规则添加的主要问题也不再是如何添加的问题,而是要添加什么内容的问题。
一、在“所有程序规则”类别中添加规则。
一般的规则都要添加在“所有程序规则”类别中,有特殊要求的才在其他两个类别中添加。
关于如何添加的问题在前两篇中我们已经讲过,这里就不再赘述,主要讲一下要添加什么样的内容?应该设置怎样的参数?
由于需要监控的内容很多,我们不能一一介绍,这里只讲几个典型,以帮助大家领会EQSecure 规则编制的一些技巧,详细内容大家可以参考我整理的规则及相关知识深入研究一下。
1、注册表的自启动项。
大多数木马病毒都是利用注册表的自启动项来激活自己的,因此注册表的自启动项是我们保护的第一重点。自启动项中最典型的就是RUN项,它通常存在于以下两个地方:
HKEY_CURRENT_USER\Software\[url=http://whatis.ctocio.com.cn/searchwhatis/251/5948751.shtml]Microsoft[/url]\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
第一个是当前用户自启动项,其下面的值是指仅在指定用户登录时才启动的程序;第二个是所有用户自启动项,下面的值是任何用户登录都会自启动的程序。
对于这两个项下的值,除了一小部分安装程序外,一般不会用到,因此应将其加入规则,将对其值的修改设为阻止。
由于其下的任意值都应该阻止,因此我们在其值部分,用“*”来表示任意值。
拦截操作中将修改注册表设为阻止,记录日志;删除注册表设为允许,不记录日志。
一般对阻止的操作应该记录日志,因为阻止操作有可能影响系统正常运行,记录日志能够帮我们查找问题。允许操作最好不要记录日志,因为允许操作是系统默认的操作,并且被我们明确规定允许的操作也一定是我们信任的操作,没有必要记录日志。
小知识: “*”和“?”通常用来表示通配符,其中“*”可以代表任意多个字符;“?”可以代表任意一个字符。通配符的使用使得规则编辑非常灵活,但由于其可以代表一切字符,用不好的话,可能会引起一些不可预料的结果,所以,对用了通配符的规则,一定要反复测试,以防错误。
上面两条规则已经能够实现我们的目的,不过通过观察,可以发现两条规则除前面几个字母不同外,剩余的都一模一样,这样我们就能用通配符来代表这几个不同的字符,将两条规则合并为一条规则,来达到简化规则的效果。
另外,在RUN项的后面还有RunOnece、RunOneceEx等也能实现自启动的项,我们还可以在RUN后面加上通配符“*”来将这些项也包含进去。
如果RUN下也不允许新建子项,并且子项下的值也不想被随便修改,就勾选上“包含子键”选项。
2、服务项。
WINDOWS的服务实际上也是一种程序,不过它总是运行在后台,没有界面,我们一般看不到它。它随系统的启动而启动,比自启动项更为优先。它在注册表中对应的项是:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
其下面每一个子项代表一个服务。当前许多木马和流氓软件都采用了服务和自启动双重启动方式来激活自己,并且二者相互保护,相互修复,使得我们很难清除它们。而正常情况下,服务项除了在安装部分程序会用到外,平时是不会新增的,所以我们要对其进行控制。
一般情况下,虽然不会新增服务项,但许多正常服务会经常修改自身的一些值,因此,为了不影响已有服务正常运行,我们还需要勾选“忽略注册表数值”选项,放开对值的修改的阻止。
3、[url=http://whatis.ctocio.com.cn/searchwhatis/201/5948201.shtml]IE[/url]浏览器相关注册表项。
随着[url=http://networking.ctocio.com.cn/]网络[/url]的普及,IE浏览器成为众多病毒、木马的寄身之地,有的通过IE浏览器来秘密启动自身;有的则劫持绑架IE浏览器强迫用户访问垃圾网页;更有甚者,会假冒IE浏览器,取而代之。而这些,几乎都是通过修改相关注册表来实现的。比如浏览器的main项,这里可以设定默认主页、默认搜索页等信息,许多流氓软件都会在这里大逞淫威。因此,我们要将其中的敏感值保护起来。
由于这里我们要控制的是确定的值,所以注册表值的部分也有确定的内容,而不再是通配符。
4、其他。
注册表中还有许多项和值是需要我们保护控制的,有关知识大家可以查找相关资料。