事實上像賽門鐵克這種長期與微軟合作有機會拿到相關作業系統內核代碼的廠商,早就應該把註冊表監控功能納入基本設置,畢竟大部分的應用程式在正常安裝之下都不需要修改註冊表,因此如果XX程式要修改電腦的註冊表,而軟體的來源又不是在絕對可以信任的情況下,通常就代表著--->病毒
事實上像賽門鐵克這種長期與微軟合作有機會拿到相關作業系統內核代碼的廠商,早就應該把註冊表監控功能納入基本設置,畢竟大部分的應用程式在正常安裝之下都不需要修改註冊表,因此如果XX程式要修改電腦的註冊表,而軟體的來源又不是在絕對可以信任的情況下,通常就代表著--->病毒
沒錯你說的對
這本來就是防毒軟體應有的工作
市面的防毒軟體大部份都有內建
這種功能,當然包含我們家的卡巴
在內
就防毒軟體的本質而言我不認為
註冊表監控是防毒軟體的基本設置
如果是HIPS類的軟體那就同意了
防毒軟體都已經稱 "防毒" 之用了,主要目的還是拿來防毒用。
如果防毒軟體再多加防火墻、登陸值監控,嚴格說應該稱 "保安系統"、"Security Center" 之類的。
而且還要考慮到一般用戶。單單是中毒一般用戶都已經不知所措了,更何況還要說登錄值的變化?
且一般病毒很喜歡在登錄值 run、runonceex 改寫載入病毒。但是如果安裝正常軟體,一些軟體也會需要用到開機啟動。
這時用戶就要自我判斷這改寫的登錄值是病毒還是正常軟體,當然對一般用戶來說這操作有點難度。
如果加入正常軟體辨認之類的功能,難免也會發生誤判或被冒充的機會。
如果還想對每個正常軟體辨認都加入驗證功能,資料庫會大點,且易耗點資源。
還有一點登錄值不是那麼簡單的。
加載方法除了開機啟動外,還有 BHO、ActiveX、驅動程式、系統服務等。
甚至連右鍵 Shell 都可以達到載入啟動,如果有惡意人士寫出類似的病毒,你一按右鍵都可以讓你中毒了。
雖然說了那麼多,還是想說做為用戶就有那份責任學習點基本的保安知識。
不要求達到專業地步,不過要明白自己在做什麼,也不要亂開來歷不明的東西。
不是到了問題發生後才來不知所措,跑來求救。
此文章於 2008-03-06 06:13 PM 被 warzero 編輯。
可以另外使用像spybot此類的軟體 做註冊表的監控,防毒軟體管太多也會造成使用者的不便,畢竟不是每個人都有這種需求。
Registry Key 是個有趣的問題。
很多的 User 並不知道怎麼判斷或是修改,但是相對於企業用戶來講, IT 卻希望可以監控,或是控制。
Symantec Endpoint Protection 裡面的作業系統防護政策裡面,的確是可以讓你保護 Registry Key.. 你可以設定的是,有人修改就通知 IT. 或是乾脆禁止修改,或是有程式讀取就通知等等。
通常用這個功能去監控 runonce 這這一類的部分。
你說了一大堆,說得就是HIPS的RD
書籤