MD教程及应用之进阶版.docx

《MD教程及应用之进阶版.docx》由会员分享，可在线阅读，更多相关《MD教程及应用之进阶版.docx（41页珍藏版）》请在三一办公上搜索。

1、by sanhu35转载请注明来源一. MD简单流程:阶版MD教程及应用之进找到明确允省执行该规则 并中断搜索未找到，则最 终为允许执行该规则并中断搜索或阻止规则跳过该规则并继续向后搜素执行该规则结束进程并中断继续查找匹配规子应用注蹶表文件无项目为忽略查看致这根限 里的规则设置执行文件标签里的规则执行注册表执行网络标标签的规贝IJ签里的规则继续 搜索继续 搜素继续搜索FD全局RD全局ND全局执行找到的规 则，若无匹配 则最终为允许执行子应用标签的规则有项目为忽略执行默认权限设置 ,为忽略的项目， 由程序，里的规则 控制并执行（从子 Kg鹦我 互咆T牙言哥大片谦切执行默认权限设置程序执行找到的规

2、 则，若无匹配 则最终为允许执行找到的规 则，若无匹配 则最终为允许编辑强程序硕允许繇程序常规默认权限应用程序文件瑚表网结记录日志被苴他诳程执行松许创建新进程n 忽略访问苴他进程内存忽略:操作其祜进程及践程葱嬉进程间消息操作进程间复制句柄允许加载驱动程序阻止修改内垓内存及对象阻止修改物理内存阻止底层磁盘写操作阻止底层磁盘读操作阻止底层键盘操作阻止特殊方式写注册表阻止安装全局钩子阻止修改系统时间注销/.关机或重新启动忽略访问服务管茴器忽略加载动态链接库W访问匚娜接口允许名称权限修改所有权限为-这里使用 专略，会 继续搜素 史低伐先 级的规则 ,若无匹 配规则， 则最终执 行程序* 里的设置口回0

3、0回370回口目K3Fn：CN-汁挹机安全常规默认权限应用程序文件注册表网靖编辑应用程序规则匚更新)安装醍需名称类型读修改创建删除忧.状态E昌安软件蛆在保护重要资料的基础上，经常.文件*仅文件)忽略忽略忽略忽略0巳启用2文件改件.允许询问允许1已启用23保护执行文件文件组允许阻止允许阻止2已启用%程序数据文件蛆允许允许允许允许3巳启用2向允许Temp缓存文件组允汗允许允许允许4已启用2e允许改写文件文件幻允许允许允许允许5已启用2.口保护应用程序文件蛆允许阻止允许阻止6已启用2：|保护重要资料文件组允许阻止询问阻止7己启用2臼保护系统文件文件蛆允许阻止询问阻止8已启用2病毒免疫文件蛆允许允许阻

4、止允许9巳启用2ia隐私文件文件蛆阻止阻止阻止阻止10已启用2命令管道文件蛆允许允许允许您11已启用登自身目录文件组允许允许12己启用.2应用程序私有的交件规则(I):个规则确定取消Karan.CN 计翱扒安全这里我设置在自身目录创建文件允许，其他操作交给后面 的规则管控，若无匹配规则，则最终为允许JjMD优先级可以参考：基础教程：优先级相关论述： 二. 拦截项目的理解：1. 创建新进程、被执行权限（推荐操作：询问）父程序运行其他程序的权限。子程序被父程序运行的权限。例如：日常使用QQ点QQ空间，结果就是QQ运行IE QQ IE QQ是父进程，IE是子进程。程序单纯的运行程序是没有危险性的，但

5、是病毒运行windows目录内的cmd或者其他的系统程序的话，可以取得一些权限。2. 访问其他进程内存（推荐操作：阻止）通常系统核心进程如svchost.exe、lsass.exe这类程序会修改其他进程的内存。如果是陌生的程序修改系统或者信任程序的内存，建议阻止。3. 操作其他进程、线程（推荐操作：阻止）本操作主要是结束进程和在进程中添加线程。如果是病毒利用系统进程，会先修改系统进程的内存，然后进行本操作，在系统进程中添加线程，从而达到控制系统进程的目的。4. 进程间消息操作（推荐操作：允许）一般程序都可以允许，但是禁止陌生程序对安软乱发消息。磁碟机就是乱发消息干扰杀软、安软工具的窗口，达到用

6、户无法控制，或者操作无效的作用的。5. 加载驱动（推荐操作：阻止）如果只是AD，不论文件格式，只要一条规则即可。但是光AD也不能防范所有的加驱方式。比如：病毒修改系统驱动或者修改安全和第三方软件的驱动，而这些软件对自身驱动加载和文件的防护的强度不够，从而被病毒钻空子 所以除了 AD要防加驱外，FD还要防止程序的驱动被修改。但光防范这2点还不够，比如机器狗会进行底层磁盘写入，绕过FD修改系统驱动，从而变向的绕过AD加驱。结论：防止驱动的标准规则即：驱动加载、底层写磁盘、FD修改sys6. 修改系统内核（推荐操作：阻止）一般没有正常程序进行该操作，病毒修改内核的话，可以取得系统最高权限。7. 修改

7、物理内存（推荐操作：阻止）一般没有正常程序进行该操作，病毒修改内核的话，可以取得系统最高权限。8. 底层磁盘写操作（推荐操作：阻止）层磁盘是采用createfile打开磁盘的方法，HIPS拦截的是打开磁盘这个操作。打开磁盘后，程序按扇区读取磁盘信息，再把这些信息组合起来还原成文件系统。例如：假设一个分区是ntfs文件系统，d盘下有一个文件x.txtFD文件访问时，比较文件是否x.txt，至于x.txt实机在磁盘哪里，那需要系统提供，应用程序不知道。底层磁盘访问时，读取第一扇区，然后找到mft位置，再读取那个位置的扇区，再找到x.txt的位置，再读取扇区。结论：底层磁盘读取的只是扇区，和FD管的

8、不一样，所以就绕过了 FD。9. 安装全局钩子（推荐操作：询问-阻止）通常进行此操作的有：游戏、某些插件、外过滤挂、浏览器。因为安装全局钩子后，程序可以实现很多功能，有的是针对单个程序，有的是在所有的进程中插入钩子。 所以陌生的程序是不能轻易允许的。10. 底层键盘操作（推荐操作：阻止）常用程序一般都有此操作，如迅雷、截图软件、播放器等等，一般是获取键盘代码，进行快捷键挂钩。当然盗号木马也会这样操作。自己认识的都可以允许，陌生程序先阻止。11. 修改系统时间（推荐操作：阻止）08年左右的时候KillAv等病毒经常会修改系统时候，废掉安软。禁止陌生程序修改时间就行了。12. 注销、关机、重启（推

9、荐操作：询问）13. 访问服务管理器（推荐操作：询问）启动、新建、修改、停止服务.启动、停止是设置服务状态。新建和修改服务允许后，程序才能进行注册表操作。通常询问就可以了。14. 加载库文件（推荐操作：允许）如果禁止加载系统dll程序将无法运行起来。如果可以检查程序加载无签名的DLL就询问呢，其他的全部允许就好了。可惜HIPS都没有这种改进。15. 访问com接口（推荐操作：允许）拦截高危的就行了，其他的全部允许。三. MD使用和防护规则深入浅出：（一）排除：1.精确排除：一般在日志中创建的允许规则为精确排除，这种方法速度快，但无法达到我们为某些程序排除的目的，还需手动扩大范围。例如 程序 d

10、:program filestencentqqbinqq.exeFD 排除（允许操作自身目录）d:program filestencentqqbin* 或 qq*AD排除创建新进程（允许运行自身目录程序）d:program filestencentqqbin*这里AD虽然排除了创建新进程，减少其询问框，但是反而没有达到想要的效果。如QQ运行其目录下的另一个exe程序，按照规则是允许的，但程序虽运行了却不在任何一个组内，会受到全局FD规则影响，反而还要排除一次。想要达到很好 的排除效果，可以配合下面的围排除设置。2.范围排除: d: 游戏*.exeFD允许d:游戏*或.* （允许操作自身目录）A

11、D创建新进程允许d:游戏*.exe或d:游戏*或.*这样创建新进程允许运行自身目录下的程序配合主程序使用*.exe,可以很有效的排除和减少询问框。?:program files*.exe 同理噌 Malware Defender -规则文件（I）编辑但）查看世）规则康）工具（T）蒂助也）.|菌规则|国渣肄国内簌.模阿戛网箝端旦|与钩子|尊：自动运行程序睛了 名称h勺m t授权】高限制组+白r授权】低限制蛆so t授枳】可信任蛆田曰攻软件办公程序+卜3软件压缩工具日可软件输ATMc : Vprdgram filesVsogouinpuf.*. exe+1蹈或软件下载工具一互舟At圣塑二蒐统械.和

12、（二）一类规则三种写法的效果：例一：以禁止创建文件autorun.inf为例：1. 在全局全局FD中添加 *; autorun,inf 结果：禁止所有的程序创建autorun,inf优缺点：低优先规则，利于统一管理和排除。2. 设置为高优先规则。父程序*，文件标签里添加*; autorun,inf由于是父进程为*的高优先规则。结果：除了 MD规则最下方默认的系统程序外，所有的程序都不能创建autorun,inf优缺点：高优先规则，适合禁止高危程序和目录。有人用这种方式写在低优先，基本上没人写在高优先。3. 只在程序组的文件标签中添加。结果：针对某组或某个程序，禁止其创建autorun,inf优

13、缺点：这种方式比较有针对性，实际应用中也较多。例二：cmd.exe，禁止其运行。1. 在程序*里面添加创建新进程阻止cmd.exe.结果：这种为最低优先，当程序不在任何分组内时，禁止调用cmd，想要某些组或程序由全局*得规则类控制，可以配合忽略来使用。可以参考我的规则!优缺点：推荐这种方式，安全易排除。2. 高优先，在添加应用程序规则cmd.exe，移动到应用程序里的最下端，阻止被执行。结果：这种为高优先，处了系统默认的程序外，它的优先级是最高的，剩余所有程序将无法调用cmd.exe，想要排除必须将允许的程序或组放在其下方。优缺点：不够灵活，不方便排除，但比较适合不常用的高危程序和某些特殊目录

14、。可以参考我的规则！3.在所有想要阻止运行cmd的组或程序中添加cmd.。结果：指定的程序或分组无法调用cmd.exe优缺点：不适合统一管控，只适合单个或多个控制。（三）改变规则顺序的不同结果：FD规则按照优先级举例：1.（包含：*.exe *.bat *.cmd *.pif 等）（包含 *temp*temporary internet files*）其他路径的可执行文件不可操作。可执行文件组阻止 1Temp允许 2结果：temp内可以创建可以操作任何文件2.反之Temp允许1可执行文件组阻止2结果：temp不可操作可执行文件，可以操作其他类文件，就是所谓的过滤。3.Temp允许1可执行文件组

15、阻止2允许下载目录允许3（如：f:下载区*）结果：下载区可以操作可执行，temp允许操作可执行以外的文件，阻止操作其他路径的可执行文件。4.可执行文件组阻止1Temp允许2允许下载目录允许3结果：temp和下载目录可以操作任何文件，其他路径可执行文件不可操作。（四）隐藏某个目录的设置技巧： 隐藏文件的问题我再详细的说一下：因为禁止被访问的目标是 文件或者文件夹方法一、效果：禁止访问所有路径为备份其内的文件和文件夹。而这条规则实际并没有禁止访问备份这个文件夹本身。所以效果是：可以打开备份这个目录，其内的其他文件和文件夹均无法打开和查看编辑文件条目L魂度件夹：.|哀件或子文件夹on：座=应用于厕于

16、文件或子文件夹门；41文件和文件夹如O文件(0)文件夹QT)说明蛾重要目录防护规则Karan.CNLk 心全互肪分享太气谦和确定取消方法二、效果：禁止访问所有路径下的 所有含“备份”名称的文件和文件夹。这条规则禁止了访问“备份目录本身。所以效果是：该目录无法打开，自然其内的文件和文件夹均无法打开。. .落.编辑文牲金目遍I文件夷归：7i艾件或子艾件夹WT：座二*1*备份*应用于铜于文件或子文件夫门o文件和文件夹3）1文件但）文件夹on说明灯:U Karan.CNSSTVIlK ,乎廉全Hi-互聒分学 大句慢和结论：方法1适合禁止访问 所写规则的第二层目录。方法2适合禁止访问 被指定的目录（五）

17、根目录和autorun. inf在MD中？:表示根目录。多数的病毒为了加快传播速度和效率都会加入自动播放，通过移动介质进行快速大量的传播。要满足这个条件需要2个文件。一是autorun.inf；二是根目录的 某个可执行文件。通过查看autorun.inf的内容，可以看到其中文件指向根目录的可执行文件。所以想要破坏这种行为，至少要阻止两个条件中的一个。在编写规则时，可以添加防护U盘病毒组。在FD其中加入：*； autorun.inf或*； auto*.*或*；autorun.*?:;*.exe?:;*.pif ?:;*.vbs?:;*.scr 等。也可以直接？:在AD中禁止调用*autorun.

18、*和？：进行双重控制。对根目录禁止防护可谓是一举两得，不仅可以间防护U盘病毒，还可以保护系统磁盘根目录的启动系统的重要文件。在日常使用中，也必须养成良好的习惯，安 装文件、其他执行文件、杂乱的文件不要方在磁盘根目录，创建单独的文件夹进行分类。不论使用别人的规则还是自己的规则，都要管控好根目录和autorun.inf。要完全控制自动播放病毒，还需要配合RD和系统程序svchost.exe规则才能完美!RD： *SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2*sehll* 说明：记录和管理【双击盘符和盘符上的右键菜单】，在里面查

19、找，然后决定执行什么操作*SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden* *SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced* ； *Hidden*说明：企图【修改隐藏文件显示设置】系统程序svchost.exe禁止读取autorun.inf（六）拓展名1. 隐藏已知文件拓展名取消方式：我的电脑工具文件夹选项隐藏已知文件的扩展名举例：我的照片.exe成人影院.exe洗澡偷拍.exe极品美女洗澡.exe大学同学自拍流出.exe若是不隐藏的状态，就看不

20、到后面的exe取消该选项的勾！2. 伪装系统文件实际名称或路径不同，字母顺序不同。举例：Service, exeIsass. exeexplorer, exespoOrl. exespOolsv. exesvchOst. exescvhOst. exeIE. exeInternal Explorer. InkwinlogOn. exe winlcgOn. exescvchost.exe rund1132.exerundl132.exe这些你们能轻易分辨吗？（注意字母l和数字1的区别，数字0和字母o,字母的顺序多少，这种十分狡猾，还有一些看起来像系统文件的名称，要小心）3. 双后缀病毒病毒用上面

21、的方式来隐藏后缀，然后改变图标，看起来跟真正的文件一样，若是看不到后缀就很容易上当了。可以在AD中添加禁止以下文件启动：（具体可以参考我的规则）由于这些文件类型正常情况下极少用到，相关规则可以使用高优先写在应用程序中。*.3gp.?*.ani.?*.avi.?*.cmd.?*.doc.?*.gif.?*.ini.?*.jpg.?*.log.?*.mp3.?*.mp4.?*.png.?*.ppt.?*.rar.?*.zip.?*.rm.?*. rmvb. ?*. txt. exe*. vbs. ?*. wma. ?*. wmv. ?*. xls. ?若用FD预防双后缀病毒，最好不要所有的格式都用

22、？?？或.*不常用的如：*.cmd. ? *. ini.?可以用.？或.*常用的如： *. rar *. zip *. doc最好使用 *. rar. exe *. rar. pif*. doc. doc *. doc. rar 命名等现象，以免误拦截，还要另行排除。（七）特殊目录*.doc.exe等比较明确的写法。因为经常使用到，操作较多，可能出现以下目录比较特殊，有缓存目录、IE插件目录、历史信息、垃圾文件、快照文件、开始快捷方式目录等，几乎不会有正常程序从中启动，反而常常被病毒利用， 所以可以直接高优先禁止程序从以下目录启动，且不会影响正常使用。还可以添加单独存放mp3和电影文件的地方。

23、*content.ie5*temporary internet files*downloaded program files*microsoft sharedmsinfo*?:system volume information*cookie*favorites*recent*recycle?*启动*c:windowsdebug*c:windowsfonts* c:windowshelp*c:windowsinf* c:windowsjava*c:windowssystem32com*c:windowssystem*c:windowstasks*（八）services.exe和服务控制：一般创建

24、服务是由services.exe或程序直接写入注册表*SYSTEM*Controlset*Services*。程序安装完成后，服务和驱动的启动还是由services.exe来控制的。若是没有单独的服务控制，可以把services.exe当做简易的服务控制，不可完全信任。而AD的服务控制是单独监控服务或驱动的启动、安装和删除等操作。有服务控制时services.exe是可以完全允许的。（九）关于劫持*SOFTWAREMicrosoftWindows*CurrentVersionImage File Execution Options*；Debugger说明：windows调试的一种。此项由两种作

25、用，一是禁止指定的进程启动，二是进程虽启动但启动的是被指定的程序，非原程序，就是所谓的劫持。病毒利用率 极高，因为确实很好用，可以被病毒利用，也可以成为反毒利器。举例：*SOFTWAREMicrosoftWindows*CurrentVersionImage File Execution Options360rp.exeDebugger 值为：c:windows1.exe结果：当360rp.exe启动时，反而是c:windows1.exe启动了。若Debugger值为空，或任意无效的路径，那么360rp.exe将无法启动。劫持时通常配合taskkill.exe，写入劫持项目后，再结束掉进程，当

26、程序再起启动时劫持就生效了。*SOFTWAREMicrosoftCommand Processor*；AutoRun说明：此项劫持cmd运行，autorun原值为空，病毒利用值指向一个文件路径，随cmd启动而启动。病毒利用较少。*SOFTWAREMicrosoftWindows NTCurrentVersionAeDebug ； Debugger说明：Window调试的另一种。Debugger值为Drwtsn32 -p %ld -e %ld，调用widnows调试程序，病毒利用较少。（十）关于安装：在这里不考虑使用其他安软组合，只谈谈MD开启防护进行安装。日常使用中最好把安装文件都放在一个目录

27、，当然分开也不影响。最好单独设置一个安装组，设置安装规则。安装时可以询问把安装程序加入安装组，这样改程序就可以依照设置好的安装规则进行。不喜欢询问，必须要设置好安装路径，把需要安装的文件放到安装目录中。在整个安装过程中，被调用的程序都可以加入安装组，也可以添加临时规则，安装完 全后，手动删除添加的规则。安装规则：AD规则：AD并不是使用HIPS安装的障碍，设置可以按照个人喜好，随意一些。阻止关键，其他常用的询问和允许。主要创建新进程询问，因为可以分组或避免误阻止， 导致要重试安装。FD规则:FD是安装成功和失败的关键点，张弛度很难拿捏。松了吧，感觉不安全，漏很多。严了吧，可能安装失败，不好把握

28、。其实不管是正常的程序组，亦或是安装组， 只要把握住关键点，巧打七寸，那么思路就清晰了。FD主思路就三条规则：按照优先级：*1 （全部允许）保护保护可执行文件2 （阻止删除、修改；允许读取、创建）保护重要文件和目录3 （阻止修改、删除；允许读取、创建）（PS：其实这个FD规则已经可以作为任何一款杀软的辅杀FD规则，绝对可以做到安全安静安心！）&保护重要文件和目录包括什么：关键的系统文件、个人重要文件和目录、已安装的安软目录。&有了主思路和规则框架，就可以在其基础上进行自己需要的个性化的修改。比如在基本不安装的目录可以直接阻止创建，可能会安装的目录可以允许或询问创建，*创建可以询问，安装时用来添加临时规则。其实允许创建没有什么危险性，只是可以少一些垃圾文件而已，并不是说允许创建就不安全了。允许或是询问可以自行思量。RD规则：RD作为HIPS的一道防线，必不可少。但是对安装来说大量允许才是最适合的，安装时我们只需要防护关键项目，其他全部允许就行了。或者把日常阻止的规则，在安装组中询问，其他允许。例如：阻止破坏安全模式阻止添加镜像劫持阻止修改文件夹隐藏选项阻止修改重要文件关联阻止删除安软自动项询问添加服务询问添加自启动项备份系统、备份注册表实在太快速了，不用太担心注册表