对完全信任安装程序的处理方式
以前和网友交流时,提到过安装程序的问题,这个问题十分普遍,通过U盘、光盘、或者网络下载并进行程序安装,是用户非常常见的一种行为,网友反映如果如果在安装过程中,询问时再退出保护模式,将是十分繁琐。频繁弹框又不堪忍受。新增安全工作模式并不现实,一是改动量比较大,二是影响其他程序。这里做法是一个安装程序运行,弹出一个询问框,如果用户把这个运行的程序加入到完全信任列表中,上层应用程序会检查当前运行的程序是否是一个安装类应用程序,检查的方法很简单,就是查看这个程序的文件描述信息,如果有install、setup或者“安装”字样就假定这是一个安装程序,然后会提示另外一个对话框,询问是否把当前程序视为完全信任的安装程序,如果确认是的话,当前程序包括改程序发起的所有子进程程序,以及子进程的子进程都将被视为完全信任,不予弹框。安装信任程序属于临时规则,被记录到内存中,和pid相关,与进程路径无关。如果第二次执行安装程序,仍然会询问。
[[i] 本帖最后由 中网S3 于 2008-8-1 14:39 编辑 [/i]] 这个思路是好的,可以解决一些问题,但是仍然存在漏洞,如病毒伪装成安装程序或隐藏在安装程序中,中招仍不可避免。 或许再增加一个内置处理机制,能在此基础上增强一定的安全性:
1、在无规则程序运行时,除原来的弹框询问信息外,增加用户选择项供用户选择是否进入安装模式。
2、如果用户允许该程序运行并指定为安装程序类型(进入安装模式),则对该程序及其子程序的动作:
对于目录、文件及注册表项、值——允许并放行读取、新建动作,不提示,但修改、删除动作仍然弹框询问。
对于驱动、服务——安装、修改、删除动作均弹框询问
对于其它高危动作如修改一些敏感位置内容——均弹框询问
这样既可以减少大量弹框询问,同时也能在一定程度上保证系统的安全性。 关键是对“完全信任的安装程序”的理解,如果是未知的安装程序,便不能加入到“完全信任安装程序”。完全信任要么是安装过的已知的、要么是官方的无插件的完全信任等,否则便不是完全信任的安装程序,加入到“完全信任的安装程序”时建议有个明显或醒目的提示,如果用户加入到“完全信任的安装程序”那便按照规则执行。 嗯,支持Devy
想法不错,检查文件描述信息多一层过滤
但还是希望能有安装程序组
该组下程序包括其子进程的活动允许其较大范围的活动
但对于较危险的活动还是要能予以提醒才好 对于不明程序,完全信任还是不放心。特别是现在好多的程序中被捆绑了一些东东。 安装类应用程序是为了减少弹询问框,它只对当前会话有效,而安装组应用程序和安装模式貌似会影响整个系统,其他非安装应用程序也会因为工作在安装模式,权限得到提升。另外安装程序其实一次性用品,只要安装完毕,它就完成了它的历史使命,如果可以轻松从网上获得的话,甚至可以从磁盘上删除,貌似没有保存规则的必要,维护安装程序文件列表也是一种负担。
当然安装类应用程序如果权限过大会导致捆绑的恶意软件安装,我觉得捆绑软件的问题是一个难题,除非频繁弹框询问,否则的话,很难确定暴风影音是否捆绑类似于google工具条之类的软件,安装程序最方便的做法就是不弹框,不询问,顺利成功安装。如果担心捆绑,用户不应该将其列为可信任的安装程序。
页:
[1]