defensewall高级功能实战讲解(更新2.40版新功能)
DW是非常傻瓜式的HIPS,基本上不用了解,装上就可以用,一般用户也不需要对其中的功能有太多了解,不过如果你想更好的使用DW,对其中的一些所谓高级功能还是要了解的,小弟不才献丑来说说这些高级功能到底怎么用.[b]1.回滚
[/b]
回滚界面里有四个功能按键,分别为"允许(allow)","删除(delete)","回滚到(roolback to)","允许所有(allow all)".
允许(allow)
这个功能是指将回滚列表中的你选定的某一个文件从回滚列表移除.
[attach]144121[/attach]
[attach]144122[/attach]
删除(delete)
这个是将你选定的文件从系统中删除,和你手动删除文件没什么区别.
回滚到(roolback to)
这个回滚是指将选中项(不包含选中项)创建时间之后创建的文件和注册表项删除.
[attach]144123[/attach]
[attach]144124[/attach]
[attach]144125[/attach]
[attach]144126[/attach]
[attach]144127[/attach]
[attach]144128[/attach]
允许所有(allow all)
和允许一个意思,只不过是把回滚列表中所有项都从回滚列表中移除,这个功能一定要慎用.
[b]2.日志的Filter功能
[/b]
这个是日志过滤功能,可以选定某个日志过滤,以后就不会再记录此日志并且托盘也不会变红报警.
[attach]144303[/attach]
[b]3.排除
[/b]
[attach]144131[/attach]
[b]4.受保护文件
[/b]
这个功能能够在非信任程序要访问受保护文件时报警,并可以结束非信任程序。
[attach]144132[/attach]
[attach]144133[/attach]
另外以前老K测试了DW不能防删c:\bootfont.bin,所以如果是单用DW的建议把它加入到受保护文件中
[attach]144179[/attach]
[b]5.专家模式
[/b]
[b][font=Tahoma]在专家模式下DW不能自动将非信任程序生成的文件设置为非信任,建议普通用户谨慎使用[/font][/b]
[b][font=Tahoma][/font][/b]
[b][font=Tahoma][attach]144135[/attach][/font][/b]
[b][font=Tahoma][/font][/b]
[attach]144136[/attach]
[b]补充对defensewall拦截键盘记录方式的测试说明
[/b]
[url=http://bbs.kafan.cn/viewthread.php?tid=153639&extra=page%3D3]http://bbs.kafan.cn/viewthread.php?tid=153639&extra=page%3D3[/url]
[b]DW2.10新增功能
[/b]
[b]1. 增加了非信任程序的排除功能。
[/b]
这个功能可以让你在不把非信任程序移出非信任区就可以信任运行。只要把你想要信任运行的程序加入排除就可以了。这个功能主要是针对U盘,因为DW有个功能即自动使可移动设备内的所有文件设置为非信任,这个在有些情况下会带来一些问题,有了这个排除就解决了这个问题,你可以把U盘里的一些文件或文件夹排除,这样就可以在U盘其他文件非信任的基础上随意设置你想信任的文件和文件夹。
下面这个例子是把非信任的世界之窗浏览器加入排除,可以看到排除后运行世界之窗显示是信任的。
[img]http://bbs.kafan.cn/attachments/forumid_39/20071219_1d1914a4582519e3a1e4SO9scrfUYfjd.jpg[/img]
[url=http://bbs.kafan.cn/viewthread.php?tid=173560&extra=page%3D1#zoom][img]http://bbs.kafan.cn/attachments/forumid_39/20071219_7e55223160105a45137e0quI3X2pTfiy.jpg.thumb.jpg[/img][/url]
[img]http://bbs.kafan.cn/attachments/forumid_39/20071219_38dcf170238534c9e8d4GydwksSV1iY3.jpg[/img]
[b]2. 信任安装的需要加载驱动的程序可以非信任运行
[/b]
如果你以信任模式安装了一些需要驱动的程序,这些程序现在可以以非信任运行,它们被允许加载已经存在的驱动。在旧版本中如果在DW中非信任运行需要加载驱动的程序时DW会直接阻止程序加载驱动,造成程序无法运行。现在的2.10版本允许加载已经安装的驱动,比如说我安装了个冰刃,那么冰刃的驱动已经在系统中了,冰刃的驱动就会被DW视为信任的,这时我们就可以在DW中非信任运行冰刃。但是在DW中的非信任程序想要安装修改删除服务或驱动是被阻止的。
[img]http://bbs.kafan.cn/attachments/forumid_39/20071219_d8a01089ef571de7ad082nORviUhSINT.jpg[/img]
我们用最新的机器狗病毒做个试验。
[attach]180255[/attach]
[attach]180256[/attach]
[attach]180257[/attach]
DW不会阻止非信任程序创建驱动文件,但是所有安装加载或修改删除服务和驱动的动作都是禁止的。
[attach]180258[/attach]
[b][size=2]3. defense excludes中[font=宋体]增加了erase(清除)功能[/font][/size][/b]
[font=宋体][size=1][/size][/font]
[size=2][font=宋体]这个清除功能就是直接将选中文件从硬盘中删除。[/font]
[/size][size=4][size=13pt][/size]
[/size][size=13pt][font=宋体][size=4][img]http://bbs.kafan.cn/images/default3/attachimg.gif[/img][/size][/font][font=宋体] [img]http://bbs.kafan.cn/attachments/forumid_39/20080107_2560168c1e94361e90e58dviuyANd8SX.jpg[/img][/font][/size]
[font=宋体][/font]
[font=宋体][/font]
[b][color=darkgreen][size=5][font=宋体]2.20版新功能实战讲解:[/font]
[/size][/color][font=宋体][/font][/b]
[quote]
1.所有非信任文件排序移动控制
2.选项:所有局域网共享文件非信任运行
3.选项:为银行购物模式选择浏览器。
4.增加保存设置选项:可以将主界面选项,非信任列表,排除列表和内置列表保存为注册表文件,方便以后导入。
5.增强内置升级功能。
6.增加启动时保护未开启提示。
7.支持移动火狐和迅雷,将主程序添加进非信任列表即可。
8.右键菜单添加“以信任一切运行”,即不光选中程序以信任运行,它的所有子程序也会信任运行,这个一般用于软件升级时。
9.PDF文件现在可以追踪为非信任,而不需要将阅读器加入非信任了。
10.少量BUG和用户问题修复。
[/quote]
[b]1. 所有非信任程序排序移动控制
[/b]
很简单,就是可以随意向上或向下移动非信任列表的排列顺序。
[attach]207024[/attach]
[b]2. 为所有局域网共享文件设置非信任运行
[/b]
这个功能对局域网用户很有用,家庭用户基本可以无视。
[attach]207025[/attach]
[b]3. 为银行模式选择浏览器
[/b]
[attach]207028[/attach]
[b]4. 保存现有各种设置
[/b]
可以分别保存,比较方便,适合以后重装时导入。
[attach]207026[/attach]
[attach]207027[/attach]
[b]5. 右键菜单添加“以信任所有运行”
[/b]
即不光选中程序以信任运行,它的所有子程序也会信任运行,这个一般用于软件升级时。下面用病毒来做个试验看看有什么不同。
先用COMODO看看病毒有哪些动作
[attach]207100[/attach][attach]207101[/attach]
[attach]207099[/attach]
从上面可以看出,如果病毒在DW中运行,会生成svchost.exe并调用运行。下面我们以“run as trusted all”运行病毒看看有什么区别。
[attach]207102[/attach]
[attach]207103[/attach]
从上面可以看出,病毒以“run as trusted all”运行后,不光自身被DW信任,而且创建的svchost.exe也被DW信任,运行后DW非信任列表里没有任何变化,但是病毒已经运行了并且外联入网络。[color=red]所以此功能请谨慎使用。[/color]
[color=#ff0000][/color]
[color=#ff0000][/color]
[b][size=3][color=green]DW2.40版新功能“resource protection”(资源保护)讲解[/color][/size][/b]
[b][color=#008000][/color][/b]
[color=black]2.40版增加了resource protection功能,对于非信任进程可以指定特定程序允许访问(包括读取、写入、修改和删除)指定文件、文件目录以及注册表键值而其它非信任程序禁止访问。其实就是一个FD+RD。同时为了防止非信任进程被病毒注入窃取信息,新版本禁止任意非信任进程对其它非信任进程注入。[/color]
[attach]242860[/attach]
[attach]242861[/attach]
禁止任意非信任进程对其他非信任进程注入,这样就保持了非信任进程的“纯洁性”
[attach]242879[/attach]
下面我们实例来看看这个功能是如何保护我们指定的资源的
先用默认在资源保护列表中的oprea来打开my pictures目录看看,由于我设置了my picture目录只允许neoimaging.exe访问,所以DW马上报警了。
[attach]242862[/attach]
[color=#ff0000][/color]
[color=#ff0000][/color]
[color=black]然后再试试创建,修改和删除看看,我用系统自带画图程序和total command来分别创建修改图片和删除图片。[/color]
[color=black][/color]
[color=#ff0000][color=black]我用画图程序画了一张图要保存到my pictures下,被DW阻止。[/color][/color]
[color=#ff0000][/color]
[attach]242863[/attach]
[color=#ff0000][/color]
[color=black]现在来用画图程序来修改my picture下图片看看,发现被DW阻止了,无法保存修改后的图片。[/color]
[color=#ff0000][/color]
[attach]242865[/attach]
[color=#ff0000][/color]
[color=black]再看TOTAL COMMAND来删除图片看看,还是阻止。[/color]
[color=black][/color]
[attach]242864[/attach]
[color=#ff0000][/color]
[color=black]注册表和文件一样,我就不做试验了,总之这个功能就是允许指定非信任程序访问而限制其它非信任进程在指定保护的目录下或对指定保护的文件或注册表键禁止读取、创建、修改和删除。这里我只是对用法做了讲解,实际应用中大家可以把自己一些私密资料设置一下,只允许你指定的进程访问,这样你的重要资料就不会被窃取了。[/color]
关于资源保护的实际应用可以参考[url=http://bbs.kafan.cn/viewthread.php?tid=254703&extra=page%3D3]关于defensewall“资源保护”功能的一点使用心得[/url]
[[i] 本帖最后由 baerzake 于 2008-5-26 00:21 编辑 [/i]] [:14:] 占楼看局长讲解
ps:回滚功能真的很实用 尤其是实验病毒的时候
[[i] 本帖最后由 秋叶濛濛 于 2007-10-25 21:06 编辑 [/i]] 进一步的学习dw[:01:] 局长的帖子出来了,学习一下 另外以前老K测试了DW不能防删c:\bootfont.bin,所以如果是单用DW的建议把它加入到受保护文件中. 对DW的模式终于又了解到一个新的阶层
哈哈
谢谢 lz 选项中有一个“自动从回滚列表中移除项目”,不知这个有什么用处?[:11:] 支持1把,在U大的帖子里就问过,回滚那4个按钮的定义
现在弄清了,虽然实际操作可能会有点混乱 用熟了就不会了[:xi2:] [:xi23:] 呵呵 把这几个DW的帖子搞到1个 DW扫盲贴里面就可以了 对DW又有进一步的了解了,谢谢局长 终于知道回滚是什么了! filter是过滤器,火鸟记错了还是我记错了?
回复 12楼 jlennon 的帖子
是过滤器,但是使用时确实只是将日志反向显示而已.回复 13楼 baerzake 的帖子
我以前使用时是过滤器作用,我试过,难道我记错了? 谢谢局长哈 [:15:] [:15:] [:15:] 印象中Filter的意思是过滤器回复 14楼 jlennon 的帖子
不好意思,是有过滤作用,我只注意了表面现象,谢谢老红军指正.[[i] 本帖最后由 baerzake 于 2007-10-26 09:02 编辑 [/i]]