讨论] 浅谈自我保护功能（修改） [复制链接]

  发表于 2008-6-13 14:21 .pcb{margin-right:0} 为了本本再少占点内存，将保护神卸载了 （有点洁癖 ）。为了保护部分程序，不得不开启相关程序的自我保护功能，搞了半天才算正常。不知道开启后的效果如何，作为最后的账号防线，很是担心。还要说下保险箱的功能，很多人认为保险箱无效果，对，如果系统被突破，保险箱也无能为力，可是它的存在必有道理，对于一般木马的侵入，hook挂钩、键盘记录，部分保险箱还是其一定的防护效果的。保险箱是最后一道防线也是有道理的。
我这里实验的几个程序为病毒常搞的，主要以IE、QQ为例子，来说下设置过程。这里引用了局长的图一张，打磨图两张。版权还是你们的
这里的毛豆模式建议先为学习模式，然后是PM模式（最高模式）。以下实验是在PM模式下进行。
建议fans不要默认规则，特别是D+功能，要进行相关设置才可以达到保护的效果（只是建议，不要拍我 ）
先看下自我保护的具体信息（第二张是局长的图，说的很详细了）：
2008-6-13 14:21 上传 下载附件 (17.58 KB)

2008-6-13 14:21 上传 下载附件 (29.66 KB)

下面看下IE6.0的全局规则中的hook规则（系统无毒状态，建议先是学习模式，自动生成规则。减少麻烦）
2008-6-13 14:21 上传 下载附件 (30.38 KB)
现在开启自我保护：
2008-6-13 14:21 上传 下载附件 (23.61 KB)
先看看启动看看IE效果：
你会发现无法启动IE，看日志：
2008-6-13 14:21 上传 下载附件 (15.44 KB)
通过日志，我们可以添加拦截的文件
为了搞清楚优先级，还要在搞搞看：
自我保护添加正常的dll文件
2008-6-13 14:21 上传 下载附件 (26.7 KB)
2008-6-13 14:21 上传 下载附件 (33.03 KB)
运行IE：
2008-6-13 14:21 上传 下载附件 (28.22 KB)
再来一个例子看看(自身保护中的hook不变):
2008-6-13 14:21 上传 下载附件 (31.96 KB)
运行IE
2008-6-13 14:21 上传 下载附件 (13.61 KB)

继续：
2008-6-13 14:21 上传 下载附件 (28.69 KB)
2008-6-13 14:21 上传 下载附件 (19.18 KB)
运行IE无异常
更改下自我保护：
2008-6-13 14:21 上传 下载附件 (16.09 KB)
2008-6-13 14:21 上传 下载附件 (19.87 KB)

我们看下，对于shell32.dll这个特殊的文件，IE的自身保护中的HOOK及时添加了shell32.dll，全局规则中如果没有允许shell32.dll，运行IE依然会有提示，这是因为Access right中的hook是对IE的权限设置，与protect setting中的保护设置没有关系，。对于msctf.dll貌似很多程序都会用到他，可以放到例外中。
我们再看下打磨的两张图：
2008-6-13 14:21 上传 下载附件 (16.23 KB)
2008-6-13 14:21 上传 下载附件 (20.28 KB)
多放3张没用的图：
2008-6-13 14:21 上传 下载附件 (36.29 KB)
2008-6-13 14:21 上传 下载附件 (23.25 KB)
2008-6-13 14:21 上传 下载附件 (19.28 KB)
打磨达人都说了，我也没什么可说的

我用的TW，所以把TW也设置一下
2008-6-13 14:41 上传 下载附件 (34.07 KB)
2008-6-13 14:41 上传 下载附件 (30.37 KB)
2008-6-13 14:41 上传 下载附件 (22.93 KB)

可以看出，因为TW是IE内核，还是要挂钩IE相关的dll，如读取cookies文件、对internet选项设置。添加到保护吧

再来看下QQ（这里的QQ不是官方原版，是deepinqq版，部分设置可能有差异）保护：
2008-6-13 14:41 上传 下载附件 (40.47 KB)
2008-6-13 14:41 上传 下载附件 (19.73 KB)
登陆QQ试试：
2008-6-13 14:41 上传 下载附件 (16.19 KB)
看日志：
2008-6-13 14:41 上传 下载附件 (29.38 KB)
又是msctf.dll的原因

好了，再关注下其它保护项，访问物理内存不需要添加相关程序，不过不敢保证QQ其它程序访问，到时要看日志，自行添加
windows messages：
2008-6-13 14:41 上传 下载附件 (27.6 KB)
2008-6-13 14:41 上传 下载附件 (25.26 KB)

process terminations：
 

总体，自身保护的优先级最高，或许对windows签名的dll会自动允许，不管全局规则中有无、allow or block保护中有的就会放行。这样的话，如果自己的误操作使木马运行，木马挂钩相关保护程序，即使允许了hook，自身保护中没有也是无法挂上的。保护作用很明显。
不仅仅是杀软，还有游戏、浏览器、即时通讯程序都可以设置相关的自身保护来抵御木马的侵犯。
感谢zoes兄的指点迷津：“Protection setting里的四项是用来防止“IE被其它软件进行内存数据存取、被其它软件插入代码/挂钩、。。。。”，是保护IE“不被别的程序怎样”。而Access rights里的类似的设置是“IE可以做什么或者能对别的程序怎么样。。。。”。是设定IE的权限的。”
所以对于shell32.dll这个文件对自我保护没有关系，只是IE的一些运行权限，自我保护的优先级还是最高的。

以上是个人临时使用心得，有错误之处请指正，我会及时调整相关设置。

[ 本帖最后由 huai168an 于 2008-6-22 18:03 编辑 ]