註冊表監控應該是防毒軟體的基本設置



贊助商連結


hn1271n
2008-03-06, 09:39 AM
事實上像賽門鐵克這種長期與微軟合作有機會拿到相關作業系統內核代碼的廠商,早就應該把註冊表監控功能納入基本設置,畢竟大部分的應用程式在正常安裝之下都不需要修改註冊表,因此如果XX程式要修改電腦的註冊表,而軟體的來源又不是在絕對可以信任的情況下,通常就代表著--->病毒

贊助商連結


eric777
2008-03-06, 10:32 AM
沒錯你說的對
這本來就是防毒軟體應有的工作
市面的防毒軟體大部份都有內建
這種功能,當然包含我們家的卡巴
在內

D2K8X8
2008-03-06, 10:47 AM
就防毒軟體的本質而言我不認為
註冊表監控是防毒軟體的基本設置
如果是HIPS類的軟體那就同意了

天氣預報
2008-03-06, 02:20 PM
如果誤判會造成很多麻煩
特別是賽門鐵克規模的

warzero
2008-03-06, 05:23 PM
防毒軟體都已經稱 "防毒" 之用了,主要目的還是拿來防毒用。
如果防毒軟體再多加防火墻、登陸值監控,嚴格說應該稱 "保安系統"、"Security Center" 之類的。
而且還要考慮到一般用戶。單單是中毒一般用戶都已經不知所措了,更何況還要說登錄值的變化?

且一般病毒很喜歡在登錄值 run、runonceex 改寫載入病毒。但是如果安裝正常軟體,一些軟體也會需要用到開機啟動。
這時用戶就要自我判斷這改寫的登錄值是病毒還是正常軟體,當然對一般用戶來說這操作有點難度。
如果加入正常軟體辨認之類的功能,難免也會發生誤判或被冒充的機會。
如果還想對每個正常軟體辨認都加入驗證功能,資料庫會大點,且易耗點資源。

還有一點登錄值不是那麼簡單的。
加載方法除了開機啟動外,還有 BHO、ActiveX、驅動程式、系統服務等。
甚至連右鍵 Shell 都可以達到載入啟動,如果有惡意人士寫出類似的病毒,你一按右鍵都可以讓你中毒了。

雖然說了那麼多,還是想說做為用戶就有那份責任學習點基本的保安知識。
不要求達到專業地步,不過要明白自己在做什麼,也不要亂開來歷不明的東西。
不是到了問題發生後才來不知所措,跑來求救。

hn1271n
2008-03-06, 05:41 PM
防毒軟體都已經稱 "防毒" 之用了,主要目的還是拿來防毒用。
如果防毒軟體再多加防火墻、登陸值監控,嚴格說應該稱 "保安系統"、"Security Center" 之類的。
而且還要考慮到一般用戶。單單是中毒一般用戶都已經不知所措了,更何況還要說登錄值的變化?

且一般病毒很喜歡在登錄值 run、runonceex 改寫載入病毒。但是如果安裝正常軟體,一些軟體也會需要用到開機啟動。
這時用戶就要自我判斷這改寫的登錄值是病毒還是正常軟體,當然對一般用戶來說這操作有點難度。
如果加入正常軟體辨認之類的功能,難免也會發生誤判或被冒充的機會。
如果還想對每個正常軟體辨認都加入驗證功能,資料庫會大點,且易耗點資源。

還有一點登錄值不是那麼簡單的。
加載方法除了開機啟動外,還有 BHO、ActiveX、驅動程式、系統服務等。
甚至連右鍵 Shell 都可以達到載入啟動,如果有惡意人士寫出類似的病毒,你一按右鍵都可以讓你中毒了。

雖然說了那麼多,還是想說做為用戶就有那份責任學習點基本的保安知識。
不要求達到專業地步,不過要明白自己在做什麼,也不要亂開來歷不明的東西。
不是到了問題發生後才來不知所措,跑來求救。
因此我才認為註冊表監控不是要求全面封死註冊表變更,而是要讓使用者在信任軟體來源情況之下,手動允許註冊表變更

warzero
2008-03-06, 06:04 PM
因此我才認為註冊表監控不是要求全面封死註冊表變更,而是要讓使用者在信任軟體來源情況之下,手動允許註冊表變更
對電腦認識有一定程度的人戦零是贊成可以這麼做。
因為自己也是只用 HIPS 監控登錄值來保護系統而已。

但如果站在一般用戶角度去想,就會發生一般用戶根本不知道那些提示訊息是做什麼用的。
大概只知道有提示,禁止再關掉的操作而已。如果錯誤禁止,嚴重的話可能會造成軟體無法正常運作之類的問題。

如果防毒有含登錄值監控的話,個人是比較建議預設關閉其監控。
認為有哪個需要的人手動去啟動會比較好。

Shader
2008-03-07, 11:35 PM
可以另外使用像spybot此類的軟體 做註冊表的監控,防毒軟體管太多也會造成使用者的不便,畢竟不是每個人都有這種需求。

lnicholas.hsiao
2008-03-09, 11:54 AM
Registry Key 是個有趣的問題。
很多的 User 並不知道怎麼判斷或是修改,但是相對於企業用戶來講, IT 卻希望可以監控,或是控制。

Symantec Endpoint Protection 裡面的作業系統防護政策裡面,的確是可以讓你保護 Registry Key.. 你可以設定的是,有人修改就通知 IT. 或是乾脆禁止修改,或是有程式讀取就通知等等。

通常用這個功能去監控 runonce 這這一類的部分。

sean666
2008-03-19, 05:16 AM
你說了一大堆,說得就是HIPS的RD