本文介绍如何通过设置注册表和应用程序规则来保护IE浏览器免受病毒和木马的侵害,包括如何为关键进程设置例外规则,并利用日志进行规则的调整与修正。
3、IE浏览器相关注册表项。
随着网络的普及,IE浏览器成为众多病毒、木马的寄身之地,有的通过IE浏览器来秘密启动自身;有的则劫持绑架IE浏览器强迫用户访问垃圾网页;更有甚者,会假冒IE浏览器,取而代之。而这些,几乎都是通过修改相关注册表来实现的。比如浏览器的main项,这里可以设定默认主页、默认搜索页等信息,许多流氓软件都会在这里大逞淫威。因此,我们要将其中的敏感值保护起来。设置规则如下:
这个只是一部分规则,详细内容可以看一下EQSecure自带的规则。
由于这里我们要控制的是确定的值,所以注册表值的部分也有确定的内容,而不再是通配符。
4、其他。
注册表中还有许多项和值是需要我们保护控制的,有关知识大家可以查找相关资料。
二、在“应用程序规则”类别中添加规则。
当我们将注册表中所有可能被病毒利用的项和值都控制之后,就切断了木马、病毒的启动途径,我们就不再害怕木马、病毒的入侵了。但是,有个问题也会随之而来,当有正常的程序需要修改这些被控制的注册表项和值时怎么办?放开控制,不安全,不放开,又可能造成正常程序运行失败。
那么有没有办法让我指定的程序可以修改被控制的注册表,而其他程序不允许修改呢?这样的话,既能保证系统安全,又能不影响正常程序的正常运行。答案是肯定的,只要在“应用程序规则”类别中添加相应规则就可以了。
比如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 项下的许多值是比较重要的,也可以自启动应用程序,因此,应该在“所有程序规则”类别中将其加入规则。
但对%WinDir%\system32\winlogon.exe这个应用程序来说,可能会要求修改这个项下的值,而这个程序是WINDOWS系统的重要程序,如果它出现错误,会导致系统崩溃。所以,我们在“应用程序规则”类别中为其设定例外。
首先添加程序:%WinDir%\system32\winlogon.exe,将程序的操作参数设为“允许”和“不记录日志”。
程序的操作参数是指程序对没有在规则中指定的注册表项和值进行操作所应用的参数。由于注册表的规则是:只要没有在规则中专门指定,都允许操作,这样才能保证系统正常运行。所以应用程序的操作参数也一定要设为允许。
另外,还要勾选“搜索所有程序规则”选项,这样“所有程序规则”类别中的所有规则才能对这个程序起作用,在其下添加例外规则才有意义。
然后在此程序下添加注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,将“修改注册表”和“删除注册表”两个参数都设为“允许”,并且“不记录日志”。由于我们勾选了“搜索所有程序规则”,“所有程序规则”类别中的所有规则都对winlogon.exe起作用,所以,我们这里先行设定允许操作,让其在“所有程序规则”中的规则之前起作用,从而达到此注册表项针对此程序来说,是例外的,可以修改的。
三、利用日志对规则进行调整与修正。
我们设置规则的目标:一方面要最大可能地防止有害程序入侵,另一方面要尽可能地不影响正常程序的使用。但要使二者都得到满足是很困难的,需要我们在使用过程中不断地对规则进行调整。调整的依据主要是程序的出错信息和日志拦截信息。
由于多数情况下,被阻止的应用程序不会报告错误,因此我们参考的依据就主要是日志了。
在前面,我们要求对操作参数设定为阻止的规则记录日志,就是因为它是我们调整规则的重要依据。
在任务栏中的EQSecure图标上单击鼠标右键,在弹出的菜单中选择打开日志,即可打开日志窗口。
日志窗口有四个页:所有日志、应用程序日志、注册表日志和文件日志。
一般情况我们看所有日志就可以了,日志较多时可以看各分页日志。
对日志的分析与对应用程序保护询问窗口的分析是一样的,主要看发出操作的应用程序和涉及到的注册表、文件等信息是否可靠。如可靠,说明规则过严,影响了正常程序的运行,可以对相关规则进行调整,或是为此应用程序在“应用程序规则”类别中设置例外;如果不太清楚,可以放一放,多观察一下;如果确定不是正常操作,可能是感染了病毒,就需要用杀毒软件清除一下。
文章转至卡饭论坛,本人搜集并加以编辑。希望对大家有用,其实使用HIPS并不困难,
开始一段时间会有较多的询问,但过了一段时间后询问逐渐减少。在做病毒试验时就知道它的效果,HISP是当今防范已知和未知木马及病毒最有效的利器。本人是毒霸2008加上风云防火墙和EQ HIPS软件。
扫一扫
6265
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
