系统内核加固之我见
咳、、第一次发这样的贴、、求支持、、怎么说呢第一次接触瑞星就被这个 第一次见到的名词所吸引了、、急切的想看看他是干什么用的、有什么强大的功能、、看完之后呢、、感觉他是一个正在发展中的功能、、貌似他的用途并没有完全发挥出来呢、、第一感觉是和hips好像啊、、可是看了提供的3个模版后发现:初级模版只是对系统极其核心重要的地方的访问进行了拒绝、但是很多杀软也对这样的地方进行了最严密的保护、、所以现在的病毒很少触发这样的规则、、然后就导致使用瑞星N年也没看见过系统加固提示的说、、而中级模版是我最喜欢滴、、保护的地方多了很多、、而且实际使用中并没有出现什么提示并且再加上自己制定的一些规则安全系数直线上升、、而高级模版让我很无语、、怎么在中级模版中直接拒绝的到了这里全变成提示了、、确实不适合普通用户使用了、、关于系统内核加固的介绍说这是一个类hips功能、、用户可以自己制定规则、、高兴ing、有些适合喜欢hips用户的口味了、、但是哭ing 没有规则导出、导入功能、所以很显然后果就是只能少数人自己用了,不可以把规则共享啊、、(强烈希望能增加规则导入导出功能!!!)很久很久很久很久。。。。以前看见某位大牛(change_018)说过某些地方加强的规则、、现在找出来和大家共分享、、规则:
1.文件访问规则之可疑目录下禁止创建危险文件
规则名称自定|只勾选创建|触发动作提示|规则描述自定
不包含子目录
参考路径:
C:\
C:\Documents and Settings\
C:\Documents and Settings\Administrator\
C:\Documents and Settings\Administrator\Local Settings\Application Data\
C:\Documents and Settings\All Users\
C:\Documents and Settings\All Users\Application Data\
C:\Documents and Settings\Administrator\Application Data\
C:\Program Files\
C:\Program Files\Common Files\
C:\Program Files\Common Files\Microsoft Shared\
C:\Program Files\xerox\
C:\Recycler\
C:\Recycled\
C:\System Volume Information\
包含子目录
参考路径:
C:\WINDOWS\Debug\
C:\WINDOWS\Driver Cache\
C:\WINDOWS\Downloaded Program Files\
C:\WINDOWS\SoftwareDistribution\
C:\WINDOWS\system\
C:\WINDOWS\system32\Com\
C:\WINDOWS\system32\IME\
C:\WINDOWS\system32\GroupPolicy\
C:\WINDOWS\system32\ShellExt\
C:\WINDOWS\system32\wbem\
C:\WINDOWS\system32\wins\
C:\WINDOWS\Temp\
C:\WINDOWS\web\
除了默认自带的目录规则,以上位置也是些值得注意到目录,一些恶意程序往往会在此启动,既然启动防护不太全面(毕竟智能型防护基本也不会拦截程序的启动,只掐断高危的操作),那么就直接禁止程序在高危目录里创建可疑程序。
2.文件访问规则之保护系统关键文件
规则名称自定|只勾选删除|触发动作提示|规则描述自定
不包含子目录
参考文件:
C:\boot.ini
C:\bootfont.bin
C:\CONFIG.SYS
C:\IO.SYS
C:\MSDOS.SYS
C:\WINDOWS\explorer.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\runll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\winlogon.exe
包含子目录
参考路径:
C:\WINDOWS\inf\
C:\WINDOWS\Installer\
C:\WINDOWS\system\
C:\WINDOWS\WinSxS\
C:\WINDOWS\system32\config\
C:\WINDOWS\system32\GroupPolicy\
C:\WINDOWS\system32\spool\
除了默认自带的保护规则,可以再添加一些根目录文件和system32下重要系统程序,尤其是像C:\WINDOWS\system32\config目录下存放的系统配置和注册表相关的地方,需要特别注意。1.注册表访问之文件关联和策略相关
规则名称自定|勾选修改和删除|触发动作提示|规则描述自定
包含子键
参考键值:
HKEY_CLASSES_ROOT\.cmd\
HKEY_CLASSES_ROOT\cmdfile\shell\open\command\
HKEY_CLASSES_ROOT\.pif\
HKEY_CLASSES_ROOT\piffile\shell\open\command\
HKEY_CLASSES_ROOT\.reg\
HKEY_CLASSES_ROOT\regfile\shell\open\command\
HKEY_CLASSES_ROOT\.vbs\
HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
HKEY_CLASSES_ROOT\.hta\
HKEY_CLASSES_ROOT\htafile\shell\open\command\
HKEY_CLASSES_ROOT\.lnk\
HKEY_CLASSES_ROOT\lnkfile\shell\open\command\
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
不包含子键
参考键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
添加些文件类型关联,系统策略相关,DCOM相关项等等。
2.注册表访问之可移动磁盘和关键键值相关
规则名称自定|勾选修改和创建|触发动作提示|规则描述自定
包含子键
参考键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
不包含子键
参考键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Security center
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GinaDLL
添加一些文件夹属性相关,可移动磁盘自动运行,系统安全中心,还有一些会被病毒利用的键值。
Over
此致敬礼 欢迎大家支持、、、 不支持的也不要打击我谢谢、 尤其衷心的希望拿毛豆飘的师傅试试这些规则的效果怎么样、、试好了告诉我、、、用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
