论文部分内容阅读
主动防御技术是一种阻止恶意程序执行的技术。瑞星的主动防御技术提供了更开放的高级用户自定义规则的功能,我们可以根据自己系统的特殊情况,制定独特的防御规则,使主动防御可以最大限度地保护系统。下面具体来看下如何在应用程序控制上实现主动防御。
第一步:打开瑞星全功能安全软件,点击上方“设置→防御设置→应用程序控制”,点击“添加”按钮,选择应用程序对象里面选择“*”→下一步→完成,在之后弹出的窗口下方依次单击“注册表访问→启用0条规则→添加”,展开并输入[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden]键(见图1)。
第二步:点击最右侧“启动程序”下的“启用0条规则”,添加如图2所示的规则来限制病毒启用子程序。
小提示
在主动防御中使用应用程序控制功能,实现对任意进程的保护,避免这些进程被恶意病毒注入、利用和结束等。某些容易被病毒破坏的安全工具和安全软件的保护规则都设置为拒绝:限制使用摄像头、限制全局挂钩、限制修改内存内核数据、限制加载驱动、限制修改系统时间、限制安装驱动。
第三步:按照上述规则的添加方法,增加如下关键注册表键值:
1.对自动运行项注册表的键值监控
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
2.应用程序劫持项的监控
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]
3.AppInit_DLLs
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs]
第一步:打开瑞星全功能安全软件,点击上方“设置→防御设置→应用程序控制”,点击“添加”按钮,选择应用程序对象里面选择“*”→下一步→完成,在之后弹出的窗口下方依次单击“注册表访问→启用0条规则→添加”,展开并输入[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden]键(见图1)。
第二步:点击最右侧“启动程序”下的“启用0条规则”,添加如图2所示的规则来限制病毒启用子程序。
小提示
在主动防御中使用应用程序控制功能,实现对任意进程的保护,避免这些进程被恶意病毒注入、利用和结束等。某些容易被病毒破坏的安全工具和安全软件的保护规则都设置为拒绝:限制使用摄像头、限制全局挂钩、限制修改内存内核数据、限制加载驱动、限制修改系统时间、限制安装驱动。
第三步:按照上述规则的添加方法,增加如下关键注册表键值:
1.对自动运行项注册表的键值监控
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
2.应用程序劫持项的监控
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]
3.AppInit_DLLs
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs]