Real-time Protection
实时监控到底在监控什么?
本文尝试解释Microsoft AntiSpyware (Beta1)的Real-Time Protection(实时监控)到底监控了什么项目以及那些项目的一些概念和应用,以便于读者对于该软件进一步的了解。
(下文中的Real-Time Protection将以“RTP”表示)
在《Microsoft AntiSpyware (Beta1) 简易使用手册》中可以看到RTP中监控了三大项目:
Internet Agents
Application Agents
System Agents
上次介绍过了Internet Agents,这次该应上次的承诺,介绍System Agents了
1、AppInit DLL(程序动态链接库)
RTP监控未经授权的改动或添加到APPInit_DLL Files(程序动态链接库文件)注册值
Q:何为AppInit DLL?A:当User32.dll被读取时,在AppInit_DLL注册值包括的名单中的.dll文件也会都被读取。因为大多数Windows执行要读取User32.dll,而在AppInit_DLL文件注册值名单中所列的.dll也都会被读取。这使得.dll文件很难被移除,因为其读取过程是多重的,除非停止操作系统,否则这种联动读取的过程是不会停止的。User32.dll文件在每次你登录电脑的时候会被自动启动的进程读取。这样子意味那些AppInit_DLL名单中的.dll文件会跟随Windows运行,同时允许了那些间谍软件在你得到授权使用系统之前把自身隐藏或者保护自身。
2、Approved Shell Extensions(合法的外观扩展)
RTP监控未经授权的改动Windows外观及扩展。
Q:何为Approved Shell Extensions?A:Shell extensions允许开发者给现有的Windows外壳添加一些功能,一个标准的Shell extensions带有上下菜单、特定操作、ICO图标和文件夹等。
3、Context Menu Handler(上下文菜单管理)
RTP监控未经授权的改动Windows上下文菜单。
Q:何为Context Menu Handler?A:该Context Menu Handler功能为向特定类型的文件对象增添上下文相关菜单。(如安装了WinZip之后右键点击文件会有个上下文菜单出现)
4、Control.ini Policy(Control.ini参数)
RTP监控未经授权的更改Control.ini以改变控制面板。
Q:何为Control.ini?A:即控制面板的参数文件,你可以在其中在某个控制面板的项目.cpl=之后输入Yes或No来决定是否在控制面板中显示某项目。
5、Explorer Trojan(资源管理器特洛伊)
RTP监控已知的资源管理器特洛伊木马。
Q:何为Explorer Trojan?A:当你启动你的电脑时,Microsoft Windows会在指定的Windows目录中读取explorer.exe文件。无论用何种办法,只要在C盘根目录中存在explorer.exe,就会代替Windows的explorer.exe而被执行。如果C盘根目录下的explorer.exe文件已经被破坏,你就会被强制无法使用你的电脑。
6、Ini File Mapping(ini文件映射)
RTP监控已经被安装了的程序的一个ini文件映射位置。
Q:何为IniFileMapping?A:Microsoft Windows2000、WindowsXP和其它的最近发布的Microsoft操作系统版本,一般不会用system.ini和win.ini文件。出于兼容性考虑,它们用一个叫做IniFileMapping的功能。IniFileMapping将所有目录中的.ini文件注册入注册表的.ini文件键值中。当你运行一个程序,一般会先读取其中的.ini文件的参数,Windows会先检查注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping中的.ini映射。如果找到了,Windows就会从其中的键值中的设置参数代替该.ini文件。
7、Shared TaskScheduler(共享任务调度程序)
RTP监控那些可以将自己添加进入任务调度表中让Windows运行的未知程序。
Q:何为Shared TaskScheduler?A:在任务调度程序中列出的文件都会在你启动Windows时被运行。
8、Shell Execute Hook
RTP监控改动系统Shell Execute Hooks。
Q:何为Shell Execute Hooks?A:Shell Execute Hooks是一个被Windows Shell,资源管理器读取的一个项目。
9、Shell Open Commands
RTP监控改动系统的Shell Open Commands。
Q:何为Shell Open Commands?A:Windows执行指示在注册表的部分:HKEY_CLASSES_ROOT\exefile\shell\open\command "%1" %*。一些命令被隐藏在这里,直到一些.exe文件被执行,这些命令也会打开。
10、Shell Service Object Delay Load
RTP监控未经授权的程序把它们自身加入启动键值,让Windows读取。
Q:何为ShellServiceObjectDelayLoad?A:每当你启动电脑时,在ShellServiceObjectDelayLoad列出文件的文件都会由Explorer.exe自动读取。
11、User Shell Folders(用户自定义文件夹外观)
RTP监控未经授权的更改用户自定义文件夹外观设置。
Q:何为User Shell Folders?A:User Shell Folders是Windows会以默认显示某些类型的设置和数据的文件夹。
12、Windows Directory Trojans(Windows目录特洛伊)
RTP监控可以读取Windows启动时需要读取的文件的间谍软件。
13、Windows Extensions(Windows扩展)
RTP监控未经授权的更改Windows扩展的系统目录。
14、Windows Password Protection(Windows密码保护)
RTP监控未经授权的更改Windows自动登录的参数。
Q:何为Auto-logon Password?A:在Microsoft WindowsXP专业版中,你可以使登录过程自动化,密码和一些相关信息已被存储进注册表。
15、Windows Protocols(Windows协议)
RTP监控有威胁的来自重要的标准协议驱动的转向器。
Q:何为Protocols?A:有一种间谍软件技术:利用控制Windows协议渗入和操作你的电脑用来发送和接收一些信息。
16、Windows Update Service(Windows更新服务)
RTP监控修正你的Windows更新访问设置
Q:何为Windows Update Service?A:最新版本的Microsoft Windows操作系统加进了一个自动更新的功能:当你的电脑在线时一个可以从Microsoft.com自动下载最新安全和应用程序更新的功能。
17、Windows Host File(Windows Host文件)
RTP监控对于Windows Host文件的修改,如果添加了新的Host进入或者旧的覆盖或者删除,那么会有一个弹出对话框提醒你是否允许。
Q:何为Windows Host File?A:你的Host文件是用来执行域名到IP地址的转换的,如信件转寄一样Host File是Web网站的转寄地址。例如,假定下列入口在Hosts File:192.168.0.12 www.microsoft.com.(《Microsoft AntiSpyware (Beta1)简易使用手册》提过我们可以在Advanced Tools中的Networking中修正Hosts File)
18、Windows Logon Policies(Windows登录参数)
RTP监控未经授权的添加或修改Windows登录参数。
Q:何为Windows Logon?A:Windows Logon可以有效的管理用户登录和注销行为。
19、Windows System.ini File(Windows System.ini文件)
RTP监控添加或修改System.ini文件,同Windows Host一样,如果有此行为,AntiSpyware会有弹出窗口提醒是否允许该操作。
Q:何为System.ini?A:The C:\windows\system.ini文件是一个设定初值的文件用户Microsoft Windows用以初始化系统设置诸如字体、键盘、语言以及其它的各种各样的设置。
20、Windows Restrict Anonymous(Windows匿名用户限制)
RTP监控修改Windows匿名用户限制。
Q:何为Restrict Anonymous?A:限制匿名用户的权限,减少非法用户操作的可能,增强你的系统的安全。
21、Windows Win.ini File(Windows Win.ini文件)
RTP监控添加或修改Win.ini文件,同Windows system.ini一样,如果有此行为,AntiSpyware会有弹出窗口提醒是否允许该操作。
22、Winlogon Userinit
RTP监控未经授权的更改Winlogon Userinit设置。
Q:何为Winlogon Userinit?A:一种进程,UserInit程序运行登陆脚本,建立网络连接和启动Shell壳。
23、Winlogon Shell
RTP监控未经授权的更改Winlogon Shell设置。
Q:何为Winlogon Shell?A:每当你登录Windows时,Winlogon Shell会随之自动运行。Winlogon Shell是你用来管理Windows的主要用户界面。
24、WOW Boot Shell
RTP监控每当Windows启动时,间谍软件能启动某种特殊程序的威胁。
Q:何为WOW\Boot\Shell?A:WOW\Boot\Shell是一种注册表条目,其中可以设置每当Windows启动时也随之运行的特殊程序。
对于System Agents的介绍到此为止,下次推出Real-Time Protection中的最后一个项目:Application Agents。
参考文献:Microsoft AntiSpyware Help
————By Stone.sxy
Trackback: http://tb.donews.net/TrackBack.aspx?PostId=235591