首页
社区
课程
招聘
[讨论]浅谈 安全软件 主动防御 框架的构建
发表于: 2013-3-8 20:05 4319

[讨论]浅谈 安全软件 主动防御 框架的构建

2013-3-8 20:05
4319
一直没有用起来很合心的安全软件 无论是......还是......或是.......

在基于 系统盘 影子系统和软件云安装 的情况下 安全需求被缩小到了一定范围

最基础的保护为

影子系统 防止被摘除 过滤驱动不允许被HOOK 修改  不允许 硬盘底层直接修改

不允许 非法驱动进入系统内核 (无法准确的判断) 不允许非法修改内核

不允许 格式化 等危险操作

分支保护为

不允许系统进程 文件被挟持  不允许修改非授权文件 进程

在细化下去就是 内存读写 窗口操作 进程线程 操作控制 文件读写控制

这和传统 安全软件没多大的区别 无非了智能和手动了

智能型 目前已有的成品 依然 差强人意 问题很多

手动型 在保证 保护点 不被破坏 没有系统漏洞的情况下  需要详细的规则 控制

如果 系统环境出现微小的变化  那一堆 人机交互 确认对话框 也是受不了的

后来突然想到 沙盘的思路 其实蛮好的

分为2种情况

1 如果当前系统 确认为安全的  那就是 执行智能判断 所有在软件执行前 存在的驱动还是 文件

全部自动加入 规则  可详细保护到 具体加载的模块

2 如果是后来进入系统的 全部自动进入 不可信 规则 自动匹配 操作

这样想来 确实 接近智能化的 防护软件  可以做到 无声运行  不弹窗

在具体下去 就该是  把文件 划分为 可信任 和 不可信任的 类型 自动匹配 对应的规则

同时还需要 全局规则 如 无论是 可信任 和 不可信任 进程 不允许访问 如 GHOST 文件(只在系统恢复时需要 一般都在DOS 或WINPE )

在关键的问题出现了  文件操作

目前想到 通用规则为 只允许修改 自身运行目录 但是有些程序却有 上级目录如 QQ 运行与BIN文件夹

如果是 不可信任的进程  需要修改 别的文件 直接拒绝 会出现很多的问题

这里 我又加入了 文件重定位  所有不被授权的进程 操作文件 除非是全局规则硬性保护的目录

其他全部自动 重定位

这样又出现了问题  文件读取 如果是敏感文件 一旦被读取 意味的泄密

依靠规则 显然工程量庞大 除非是良好的系统操作习惯 把文件归类整理

这样想来  目前只能依靠 文件后缀来 判断了

RAR TXT 文档类型 不允许访问

我后来又想到 应该在建立一份 保护规则 对于 特定程序 不允许任何程序 读取修改

当然所有的 基础都是维持在 系统内核不被突破 没有隐藏的系统漏洞

对于 GUI 主进程 一旦被破坏 或是挟持

驱动层 可以通过 切换其他进程 弹出 BOS 提示 并且拒绝请求

其他 就是需要非常 详细的记录了 并且在记录中可以 直接加入规则

等一些便利的人机交互问题了

以上就是 我一个小菜鸟的梦想 去年就开始 逐步开发了  每天花费的时间不多

很多问题 都需要到看雪来 搜索 寻求解解决方案

目前开发进度 大约只有 10%  我也不知道 那天就忘记了

我把我的想法 发到论坛   看看 还有什么不足之处 没有考虑到问题

如果同样想法的 也可借鉴

应为自用 不存在系统通用性问题  没有代码 此贴为思想谈论  小学不好 语言格式什么的 万分抱歉

请多包涵 呵呵

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
2
好,不错,支持。

自己慢慢摸索+实践+总结,这样对自己是有很大提高的
2013-3-9 00:42
0
雪    币: 134
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我比较对文件过滤驱动感兴趣,支持。等成果,同庆祝。
2013-3-9 08:48
0
游客
登录 | 注册 方可回帖
返回
//