HIPS研究基地 - 【活動(dòng)】【卡飯首發(fā)】SSM“RD”模塊高級(jí)教程——細(xì)致的組分類和程序應(yīng)用 - Powered by Discuz!

小飛蝦 2007-06-11

展開全文

SSM“RD”模塊高級(jí)教程——細(xì)致的組分類和程序應(yīng)用

Oceanzd

QUOTE:

寫作原因：更加細(xì)致的分類組合能使用戶在管理SSM時(shí)擁有方便，安全，輕松的感覺，而不是以往的煩躁；

在用戶常用的部分程序里面，可以制定安全并且管理輕松的規(guī)則，使SSM的用戶感受不到SSM的存在，卻仍然能享受到帶來的安全的舒適感；

雖然目前部分規(guī)則可能仍然有缺陷導(dǎo)致窗口頻繁出現(xiàn)，但是那畢竟是少數(shù)時(shí)間，而且也能學(xué)到適合自己愛機(jī)的理念的規(guī)則

QUOTE:

測(cè)試版本：
SSM 2.4.0.618 Beta 版本，30天試用（已破解）

初級(jí)入門：

病毒日新月異的變化使殺軟措手不及，注冊(cè)表對(duì)于病毒提供的方便性使注冊(cè)表保護(hù)日趨重要

以前我們所熟知的Run，Services鍵值已經(jīng)不再是部分新病毒所看中的部位了；破壞安全模式，AutoRun，新的后綴名，流氓軟件的右鍵菜單和網(wǎng)絡(luò)連接鍵值成為了破壞電腦的新方式。

這時(shí)除了AD和FD對(duì)于程序和文件的保護(hù)之外，注冊(cè)表保護(hù)也顯得至關(guān)重要，而且很多部位我們都可以形成保護(hù)圈而不至于頻繁彈出窗口

AutoRun：注冊(cè)磁盤右鍵菜單的AutoRun項(xiàng)（和autorun.inf合用）
Policies：管理計(jì)算機(jī)策略
SafeBoot：安全模式的變量管理和驅(qū)動(dòng)選擇
Network：網(wǎng)絡(luò)連接管理
Protocols：協(xié)議管理
Extensions：后綴名管理
Right Click：右鍵菜單管理
Security：其它安全類型的管理（適用于不好分類的其它注冊(cè)表鍵值）

SSM的注冊(cè)表模塊（新增規(guī)則）：
[attach]58686[/attach]

服務(wù)上面需要注意一下，默認(rèn)的官方規(guī)則里服務(wù)只保護(hù)了CurrentControlSet項(xiàng)，卻沒有保護(hù)ControlSet*項(xiàng)，建議添加規(guī)則：

HKLM\SYSTEM\ControlSet*\Services

新手上路（細(xì)致分組）：

不需要關(guān)心一個(gè)組的規(guī)則的多少，分組越細(xì)，管理起來才方便，添加規(guī)則的時(shí)候更加方便

[Copy to clipboard] [ - ]

CODE:

AutoRun（自動(dòng)播放）
Policies（策略）
SafeBoot（安全模式）
Network（網(wǎng)絡(luò)）
Protocols（協(xié)議）
Extensions（后綴名）
Right Click（右鍵菜單）
Security（安全）

以上幾樣是我們需要添加的，當(dāng)然你也可以把它們填寫成中文

這個(gè)只是我建議的范圍，可以隨更多的規(guī)則而添加更多的組別以便于管理，同時(shí)也要分配規(guī)則到新的對(duì)應(yīng)的組合

初級(jí)應(yīng)用（添加規(guī)則）：

這個(gè)沒什么好說的，直接按照規(guī)則表添加就可以了

AutoRun：
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

其中一個(gè)最容易被修改的注冊(cè)項(xiàng)，包括CLSID值注冊(cè)AutoRun和直接按照磁盤的字母（C盤，D盤）來注冊(cè)AutoRun

Policies：
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Policies\Microsoft\Internet Explorer\Control panel\homepage
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies

SafeBoot：
SYSTEM\*ControlSet*\Control\SafeBoot

Network：
很簡(jiǎn)單，直接在RegWorkShop里面搜索所有帶有Network的注冊(cè)項(xiàng)添加即可

Protocols：
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Classes\Protocols\Filter
HKCR\PROTOCOLS

Extensions：
記得以前很多人這樣添加：

HKCR\.aif
HKCR\.exe
HKCR\.http
……

現(xiàn)在只需要2條規(guī)則就可以了：
HKCR\.*

HKCU\SOFTWARE\Classes\.*
HKLM\SOFTWARE\Classes\.*
HKLM\Software\Microsoft\Internet explorer\Extensions*

Right Click：
HKCR\*\shellex\ContextMenuHandler
HKCR\*\shell*
HKCR\DRIVE
HKCR\Directory
HKCR\Folder

Security：
這一項(xiàng)是不固定規(guī)則的范圍的，只要是無法找到合適的組別的規(guī)則都可以暫時(shí)歸類到這里

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
HKLM\Software\Microsoft\ole
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\System\*ControlSet*\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Ras
HKLM\Software\Clients\Startmenuinternet
HKCU\Software\Policies\Microsoft\Internet Explorer\Control panel\homepage
HKLM\SAM\SAM
HKLM\SECURITY

中級(jí)管理（快速查找）：
[attach]58687[/attach]

SSM有一個(gè)功能，就是可以快速查找程序里面的注冊(cè)表規(guī)則和對(duì)某個(gè)組別的擁有權(quán)限的程序規(guī)則的顯示

這時(shí)我們管理起來就會(huì)顯得很方便了

比如我們查找IE Settings的規(guī)則：
[attach]58688[/attach]

查找出來這些程序擁有IE Settings的注冊(cè)表組別的權(quán)限了，而且也可以查出高級(jí)權(quán)限
[attach]58689[/attach]

高級(jí)解答（玩轉(zhuǎn)程序?qū)ψ?cè)表的訪問）：

我們以前制定了Explorer注冊(cè)表組別的規(guī)則，但是會(huì)彈出大量的Explorer.exe訪問Explorer注冊(cè)表組的信息，如何解決？

這時(shí)我們就需要利用“僅此鍵/值”來幫忙了
[attach]58690[/attach]

但是必須先選擇“制定永久規(guī)則”按鈕才能生效

但是每次制定的項(xiàng)或者值都是不一樣的，所以仍然會(huì)彈出，這時(shí)就需要自己判斷了

如刪除桌面上的文件（如系統(tǒng)盤在C盤）的時(shí)候會(huì)彈出：
S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\c
值是NeedToPurge

你這次允許并且制定了“僅此鍵/值”的規(guī)則，但是刪除D盤文件的時(shí)候又會(huì)提示：
S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\d
值仍然是NeedToPurge看出來沒有？所以你就可以制定規(guī)則：
S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\*
如果想更加保險(xiǎn)就看看自己有多少磁盤，然后制定相應(yīng)的規(guī)則

或者在畫圖里面存儲(chǔ)jpg圖象文件的時(shí)候會(huì)彈出：
S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\.jpg

允許了之后，下次想存儲(chǔ)png文件的時(shí)候又會(huì)彈出：
S-1-5-21-*\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\.png

哦，知道怎么制定了吧，把后面紅色改成.*，然后值改為*即可

如果很多程序需要使用某一個(gè)較安全的鍵或者值的時(shí)候就需要制定全局規(guī)則，然后設(shè)置為“高優(yōu)先權(quán)”和“全部訪問允許”即可

QQ的設(shè)置：
[attach]58691[/attach]

允許修改IE Settings，然后對(duì)于其它的注冊(cè)表項(xiàng)設(shè)置為“只讀”

迅雷的設(shè)置：
[attach]58692[/attach]

也是允許修改IE Settings，對(duì)于其它的注冊(cè)表項(xiàng)設(shè)置為“只讀”
因?yàn)樽x取和記錄文件的時(shí)候需要修改部分內(nèi)置在IE Settings里面的迅雷值

Windows Media Player不需要訪問注冊(cè)表，設(shè)置為“只讀”

MSN也不需要訪問注冊(cè)表

IE的設(shè)置：
[attach]58693[/attach]

開啟對(duì)于IE Settings和Extensions的部分訪問權(quán)限，然后設(shè)置為“只讀”
這樣可以避免IE被流氓或者插件利用篡改iE數(shù)據(jù)，也能保證正常使用IE

瀏覽器一類需要特別注意一個(gè)地方：
[attach]58697[/attach]

每隔一天都會(huì)彈出此類窗口，需要如何設(shè)置呢？
注意一下，上面顯示的時(shí)間都是昨天＋今天的日期，所以我們要在那里做手腳
首先我們先允許那個(gè)提示（永久并且只是那個(gè)鍵值），然后進(jìn)入瀏覽器
[attach]58698[/attach]

選中規(guī)則后，雙擊進(jìn)入修改日期，將MSHist后面的日期改為*
[attach]58699[/attach]
[attach]58700[/attach]

創(chuàng)建2條規(guī)則，然后允許所有權(quán)限（修改等），日志全部開啟
應(yīng)用到所有你擁有的瀏覽器上，以后就再也不會(huì)提示了

WinRAR不需要訪問注冊(cè)表

其它的軟件大家也可以提出來，以便試驗(yàn)注冊(cè)表訪問

注意：
RegEdit Group是專門用于管理可以修改注冊(cè)表的程序，所以不能開放訪問，卻是嚴(yán)厲控制訪問，畢竟我們不是總是在用此類程序修改注冊(cè)表
[attach]58694[/attach]

至此，SSM的“RD”模塊高級(jí)教程就結(jié)束了。一些地方可能會(huì)有不完善的地方，請(qǐng)?zhí)岢鲆庖?，我?huì)盡快的改正的。
這樣的設(shè)置實(shí)際上不難的，就要靠自己的經(jīng)驗(yàn)和對(duì)系統(tǒng)了解的水平，而且我已經(jīng)盡量的簡(jiǎn)化和平?；恼Z言了，希望大家理解。主要重點(diǎn)就是為了理解應(yīng)用程序那里的RD設(shè)置和SSM自帶的RD規(guī)則的不完整性，所以就寫出此教程讓大家注意一下。
這次就不在圖片上設(shè)置“Oceanzd 原創(chuàng)”了，但是希望大家轉(zhuǎn)貼的時(shí)候注明來源和作者。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：小飛蝦 > 《SSM》

舉報(bào)/認(rèn)領(lǐng)