瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » Tiny防毒设置----釜底抽薪
baohe - 2008-8-3 21:59:00
我用Tiny观察过很多病毒,包括那些狠毒的,如:熊猫烧香、机器狗、磁碟机、硬盘杀手(篡改MBR).....。

发现一个普遍性的规律:这些病毒发生实质动作(创/写文件、写注册表、写MBR)前,需要加载数量不等的系统DLL。此后,才开始植入、感染等破坏动作。

因此,针对这一规律,设计了一个用Tiny防毒的方案。目的是不让病毒为其自身创建运行环境。具体操作如下:

1、打开Tiny的Administration Center,点击My Applications、Add New Groups。创建两个程序组:

(1)My_Program(收录所有系统程序、用户安装的应用程序以及特定电脑特有的应用程序)

(2)sys_dlls(收录system32目录及其子目录下的DLL)

2、选定My_Program程序组。点击Tiny的My Applications面板上的Generte Apllications or DLL(即:程序批量录入)。
按图1设定录入参数,即可按路径依次录入程序到My_Program中。


3、选定sys_dlls程序组。点击Tiny的My Applications面板上的Generte Apllications or DLL(即:程序批量录入)。

按图2设定录入参数,然后将system32目录及其子目录下的DLL录入程序到sys_dll程序组中。



4、点击Tiny主面板左侧的DLL,再点击Add New Rule。添加一条高权限规则:允许My_Program程序组中的程序加载sys_dlls程序组中的DLL(图3)。




5、重复上一步操作,添加一条高权限规则:禁止其它任何程序加载sys_dlls程序组中的DLL(图4)。




6、正确完成上述5步操作。重启系统,运行自己的应用程序试试。系统及应用程序没问题。这步不能忽略哦!否则,弄不好,还没给病毒玩儿釜底抽薪,倒先给自己下绊儿了。

7、实机运行病毒样本,检验此方案的防护效果(图5-图6)。OK!结束那个~~.exe进程,病毒就死翘翘了。





注:本方案实施的基本前提是---系统是干净的。否则,录入My_Program程序组的程序混入病毒,那就糟了。
这个“釜底抽薪”方案讨论的实际是“利用Tiny的DLL加载控制规则设置阻止病毒为其自身创建运行环境”问题。Tiny的其它的防毒设置还有:
(1)禁止My_Program程序组以外的任何程序在重要目标写入、创建、删除文件
(2)禁止My_Program程序组以外的任何程序获得系统特权
(3)禁止My_Program程序组以外的任何程序插入正常程序进程或注入代码到正常应用程序进程中
(4)禁止My_Program程序组以外的任何程序终止重要程序进程等等。
上述设置,用户也应一一搞掂。这里不再详述。
另:程序入组时,之所以选择“路径”而舍弃“路径+MD5保护”,原因在于:某些程序(如:瑞星)频繁升级,其MD5常变,因此需要频繁刷MD5值,挺烦人的。至于程序完整性保护问题,可采用文件访问控制规则解决。
之所以没用瑞星主动防御搞此防毒方案,原因在于:

1、瑞星主防貌似没有程序分组功能
2、瑞星主防貌似没有程序批量录入功能。数千个程序,一一手工入组?用户会发疯的!
3、也没见瑞星主防针对不同程序组的DLL加载控制


如果谁知道如何用瑞星主防实现这种防御,请不吝赐教。

用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
aaccbbdd - 2008-8-3 22:38:00
猫叔tiny用的也很传神?
偶像呀
A小可 - 2008-8-3 23:11:00
很好很强大,收藏了先
baohe - 2008-8-3 23:11:00


引用:
原帖由 aaccbbdd 于 2008-8-3 22:38:00 发表
猫叔tiny用的也很传神?
偶像呀


Tiny是个不错的工具。虽然2005年就停止更新了,但依然很管用。
难的是----入门。
aaccbbdd - 2008-8-3 23:17:00
tiny+没主防的小红伞免费版还行

+瑞星
只能关瑞星的主动防御了:default2:
hotboy - 2008-8-3 23:22:00
肥猫终于发帖了:default6:
天月来了 - 2008-8-4 8:28:00
就是不见楼上的和猫猫在这区双飞

猫飞Tiny,你飞毛豆么
letusgo - 2008-8-4 9:15:00
:default2: :default2: :default2: :default2:
baohe - 2008-8-4 9:24:00
再次检验此方案的防护效果(用的是剑盟管理员悠悠提供的病毒样本mm.exe:http://bbs.janmeng.com/thread-785062-1-1.html)。OK!


baohe - 2008-8-4 9:53:00
又灭了一个:default5:

kim8018 - 2008-8-4 10:00:00
猫叔,有Tiny这个官方中文版的下载地址吗?:default5:
baohe - 2008-8-4 11:37:00


引用:
原帖由 kim8018 于 2008-8-4 10:00:00 发表
猫叔,有Tiny这个官方中文版的下载地址吗?:default5:


据说卡饭论坛有汉化版下载。

我只用官方发布的原版。安全软件这类DD,用户应该挑剔些。
networkedition - 2008-8-4 17:24:00
又学一招,晚上试一下。:default6:
networkedition - 2008-8-4 17:25:00
希望猫叔多发关于tiny的贴子
freeflay - 2008-8-4 17:48:00
用ssm也可以设置这样的规则吗?
天云一剑 - 2008-8-4 20:08:00
猫叔,瑞星不是可以导出规则么,
就添加一条规则,导出后,拿文本编辑器编辑的话,自己弄一个系统进程列表
再往里添

别的还真是想不出来。。
baohe - 2008-8-4 20:12:00


引用:
原帖由 freeflay 于 2008-8-4 17:48:00 发表
用ssm也可以设置这样的规则吗?


ssm关于系统DLL的入组管理设置更简洁(图)。
但是SSM缺少一个程序组:运行那些安全性未知的程序,用户要么允许它运行一次;要么创建永久规则允许其运行。用户的这两种回应,ssm对于那些安全性未知的程序的入组处理都是一样的----放入normal组。这样以来,如图所示的系统DLL加载控制设置就失去了意义。如果用户运行的是病毒程序,病毒程序照样调用系统DLL。除非在运行程序之初,ssm询问用户时,用户回应“拒绝运行”。
因此ssm貌似不能实现本防护方案。
aaccbbdd - 2008-8-4 20:28:00
:default2: :default2:
只用tiny?
杀毒软件不要了?:default2:
baohe - 2008-8-4 20:45:00


引用:
原帖由 天云一剑 于 2008-8-4 20:08:00 发表
猫叔,瑞星不是可以导出规则么,
就添加一条规则,导出后,拿文本编辑器编辑的话,自己弄一个系统进程列表
再往里添

别的还真是想不出来。。





这个方案的设计思想是这样的:
1、分组:
(1)系统程序、用户安装的应用程序、用户电脑中特有的程序(如:我的本本的R&R)规为一组-----My_Program。这组包含的程序有2623个。

(2)系统DLL归为一组-————sys_dlls。这组包含DLL程序1510个。
以上是我的电脑的实际情况,别人的电脑,可能不是这个数目。

2、在分组的基础上设置管制规则:
(1)允许My_Program组(也就是用户电脑中的正常程序)调用加载sys_dlls组中的DLL.
(2)禁止My_Program组以外的其它程序调用加载sys_dlls组中的DLL.

类似的,在Application Start Control中还可以做如下设置:
(1)允许My_Program组内的程序相互调用。
(2)禁止My_Program组以外的程序调用My_Program组中的程序。

总共4条规则,就理清了安全防护中的许多复杂关系。设置好这些规则后,Tiny根据当前系统的实际情况自动处置,用户要做的,最多也就是在遇到病毒时结束那些违规进程。其余的,根本就没更多的提示对话框跳出,用户可免去很多不必要的骚扰。

而恰当的分组,是实现上述防护设置的基础。

我实在是不知道:瑞星主防如何能简洁地处理那2623个可执行程序以及那1510个DLL的入组操作(瑞星主防貌似根本就没有“程序组”设置操作)。如果你知道具体方案,可以公布出来,给大家参考。
baohe - 2008-8-4 20:48:00


引用:
原帖由 aaccbbdd 于 2008-8-4 20:28:00 发表
:default2: :default2:
只用tiny?
杀毒软件不要了?:default2:  


这貌似不是问题。

现实社会中,只要CDC(疾病控制中心),医院统统关门?

没这回事!


防病和治病是两回事。不能混为一谈。
networkedition - 2008-8-5 9:28:00
猫叔你的釜底抽薪的方法,到底要设置几个规则,就两个吗,my_program 和sys_dlls。还是需要另外设置其它规则?我昨晚尝试了一下,重启电脑后无法进入系统。到显示桌面报userini.exe调用映像文件失败
baohe - 2008-8-5 14:22:00


引用:
原帖由 networkedition 于 2008-8-5 9:28:00 发表
猫叔你的釜底抽薪的方法,到底要设置几个规则,就两个吗,my_program 和sys_dlls。还是需要另外设置其它规则?我昨晚尝试了一下,重启电脑后无法进入系统。到显示桌面报userini.exe调用映像文件失败


你的问题是程序入组不全。

要入My_Program组的程序:

系统分区所有的系统文件、应用程序文件、自己电脑特有的应用程序文件所在的各级目录中的所有文件。

规则设置问题,本帖已经交代清楚了。
tjcum210210 - 2008-8-5 15:36:00
E文的我看着就头大:kaka8:
天云一剑 - 2008-8-5 16:42:00
猫叔,设置那两个组时,导入的是文档吗,能不能发下?
baohe - 2008-8-5 16:51:00


引用:
原帖由 天云一剑 于 2008-8-5 16:42:00 发表
猫叔,设置那两个组时,导入的是文档吗,能不能发下?


不是导入文档,是导入程序名。你要做的,就是告诉Tiny要导入那个目录(包含或不包含各级子目录)下的何种程序,导入到那个程序组中,Tiny自己完成导入过程。导入过程不需用户干预。
天云一剑 - 2008-8-5 20:35:00
奥,这样啊。。。瑞星是没有这个功能
只能手动把文件列表列出来
再到瑞星导出的XML里修改编辑。。。
我试试
蕝蝂娚孓 - 2008-8-6 12:14:00
:kaka2: :kaka2:
天云一剑 - 2008-8-7 15:57:00
仔细思索了一下猫叔TINY的釜底抽薪设置,无论是文本编辑器编辑瑞星导出的XML,还是其它方法
都需要文件的批量操作
在安装所有应用程序完成后,列出当前系统中所有的EXE,DLL,OCX,AX(播放器需要),实在是很让人郁闷的

于是乎,
用权限,禁止在SYSTEM32以及它子目录创建文件........
再用EQ,用沁妍的高级规则,这里录入了一些DLL,以后再添加信任的
创建新DLL会提示

通配符能部分替代批量录入(这也是为什么禁止新建的原因)


不过,还是不能简单实现猫叔这个的功能

这些比较严密的规则不适合新手哎。。。还是猫叔这个最方便

昨晚尝试到3点。。。继续研究。。。
wysiwys - 2008-8-7 17:36:00
牛X 强大的我都看不太懂 慢慢研究
奇缘の随风 - 2008-8-10 19:24:00
呵呵,对付病毒是很狠的方法
12
查看完整版本: Tiny防毒设置----釜底抽薪