您的当前位置:首页正文

SEP反破解方案B-保护SEP的服务

2024-11-12 来源:个人技术集锦

保护 SEP 的服务

停掉 SEP 的服务,目前可能的方法包括有:使用 360 安全卫士中的“系统服务状态”、 使用 Windows操作系统中的 SC 命令。  Windows 系统中,每一项服务都在注册表的HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下有对应项,要 保护 SEP 客户端的服务不被篡改,我们只需要保护对应的注册表项不被修改。

我们需要保护的 SEP 的服务包括:

 SmcService

 SNAC

 ccSetMgr

 ccEvtMgr

SEP 客户端的四个服务,默认的启动方式都是自动,这个是由注册表中的键“Start 的值来确定的。值为2,则服务的启动方式为自动;值为 3,则服务的启动方式为手动。

停掉 ccEvtMgr  ccSetMgr 服务,对应的是在注册表中将以下四个键删掉:

HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccEvtCli

HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSettingsService

HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSvcHst_ccEvtMgr

HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSvcHst_ccSetMgr

我们保护住着四个键不被删掉,就可以保护 ccEvtMgr  ccSetMgr 服务不被停止。 但是,ccEvtMgr ccSetMgr 两个服务的这个特性,对于 SmcService  SNAC  两个服务并不适用。

1.        3.1 的策略的基础上,添加“注册表访问尝试”条件:

 

2.       允许读取操作,但是禁止修改操作:

 

3.       添加“注册表访问尝试”条件:

 

4.       允许读取操作,禁止修改操作:

 

5.       为本规则添加两个例外的进程:smc.exe  snac.exe

 

策略在客户端生效后,通过 services.msc 修改 SEP 服务的启动属性将被阻止。

但是,测试中我们发现: 即使对 SEP 客户端的服务所对应的注册表键值进行了 保护,但是 360 安全卫士中的“系统服务状态”工具,依然可以修改 SEP 服务的 属性,它可以将 SEP 的服务设置为“禁止启动”,实际上,它是将 SEP 服务的启 动属性设置为了手动。虽然我们可以设置策略保护注册表中 SEP服务的 Start 键值,但是不能阻止 360 安全卫士的动作。不过,在测试中,并没有发现通过360 安全卫士的这种动作,会对 SEP 客户端造成什么影响。在 360 安全卫士中  SEP 服务设置为“禁止启动”之后,SEP 客户端依然工作正常。

 

From Symantec

 

专家点评:

此文档共分为“保护SEP进程”、“保护SEP的服务”、“保护SEP的文件夹和注册表”三个部分,分3天讲述。针对SEP程序管理中的“终止进程尝试”、“启动进程尝试”、“注册表访问尝试”、“文件及文件夹访问尝试”都讲的比较细致,希望各位看客举一反三,充分吸收,把SEP真正的价值体现出来。

如下:

使用SEP禁止刻录光盘

 

Symantec Endpoint Protection在成熟中继续前行

 

Symantec Endpoint Protection一次“失败”的防御

 

好色理论与病毒防治!!!(W32.Downadup.B的治愈遐想)

 

SEP 12.1应用程序与设备控制中的诸多改进!!!

 

SEP反破解方案A-保护SEP进程

 

 

 

显示全文