[原创->软件->HIPS->S3->BUG信息] 关于s3注册表监控不足的临时补救办法

昨天测试s3 2008时,发现一个小小的毛病,可能导致居心不良的人通过bat来拆除本地s3或其他软件的驱动或服务。
今天在虚拟机里测试了一段时间,发现还是有方法临时补救的。
好了,废话不多说,开始把。

===================================
第一种方法:

(对于s3驱动和保护完整的用户[没有被拆的用户])

打开,s3,切换到
应用程序规则—>程序控制规则
新建立 regedit.exe的一个规则
然后设置其子规则如下。
[c:\windows\regedit.exe]
process: allow nolog
registry: allow HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed nolog
registry: allow HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\LastKey nolog
registry: allow HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\FindFlags nolog
registry: allow HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\View nolog
registry: ask *
这样设置后,任何的导入注册表文件的动作都会被询问,虽然这个方法比较一刀切,但是对于未知的攻击还是有效的。
当然,你可以倒过来设置,把你认为危险的项目单独列出来,设置为阻止。我的方法不过是个思路而已,不需要照搬照抄。

==============================
第二种方法

如果你怀疑你的s3的驱动已经出现了问题,例如不定期出现规则和实际不符等)

既然s3已经出问题了,那么就只好请windows出场了。
下面的内容要涉及到windows的权限和ntfs的权限问题,建议有一定基础的用户使用,
抄袭一下微软的警告:^_^
修改注册表是一件危险的工作,任何的疏忽都有可能出现不可预料的后果,请谨慎。

首先打开regedit.exe
然后找到s3的驱动位置,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NCDSSvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ncfilemon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NCIPFLT

主要的就这4个。
然后,设置开始他们的权限,
点击相关键值,然后右击,在跳出的菜单中选择 权限。
这时候,点击 删除 按钮,删除所有用户
大致的顺序图

然后
添加everyone用户,设置如下

那4个键都这样设置。
这样,基本就没有大的问题了。
这个方法也适用于保护其他的驱动
不过,有一点要注意
在卸载s3前,请把刚才修改的everyone中的钩子都改为允许。
================================
加强型方法,建立在以上任意两种方法时候之后(绝对冷血的方法。)[需要ntfs分区为前提]
第一步,找到s3的安装目录。
第二步先找到以下文件
安装目录\NCDSGUI.exe
安装目录\ncappctl.dll
安装目录\NCDSSvc.exe
%windir%\System32\drivers\ncfilemon.sys(这个文件不一定存在。)
%windir%\system32\DRIVERS\ncipflt.SYS
设置他们的权限,和第二种方法的设置差不多,不重复了。
具体设置如下:
新增一个everyone帐户
设置 拒绝 删除
还有把所有的和写入有关的都设置为 拒绝。
这样就相当于fd的保护了,当然还有更为详细的设置,如果你了解的他们的含义的话可以设置出更为有效的防御。
同样的,这个方法也适用于任何文件的保护。

Related posts

发表评论