SEP 反破解方案--如何防止用户通用或者卸载SEP客户端
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
概述
在将SEP 部署到用户的实际生产环境中之后,我们有发现部分‘很聪明’的用户,找
到了一些可以破解SEP 的方法。这种破解主要集中在如下几个方面:
■ 通过360 安全卫士软件杀掉SEP 的进程、停掉SEP 的服务
■ 通过修改本地安全策略来禁用SEP 服务
■ 通过Windows 系统中的ntsd 命令来杀掉SEP 的进程
■ 修改SEP 的目录以及SEP 在注册表中对应的键值,让SEP 不能正常工作
■ 使用CleanWipe 来下载SEP
我们可以在SEP 中添加一些有针对性的策略来反破解用户的这些行为,从而保护SEP 客户端。
软件版本
本文档中,我们使用的软件版本分别为:SEP/SEPM:RU6MP2 (11.0.6200.754) SEP 客户端操作系统平台:Windows XP Professional SP3, Windows 7 Enterprise Edition
SEPM 操作系统平台:Windows Server 2003 R2 Enterprise SP2
360 安全卫士:7.5.0.2001
反破解方法及测试结果
下面介绍具体的反破解方法。
保护SEP 进程
对SEP 客户端的保护,首先要保护SEP 客户端的进程不被第三方工具或程序杀掉。目前已知的用户可能杀掉SEP 进程的方法包括有:使用Windows 任务管理器、使用360安全卫士中的‘进程管理器’、使用Windows 自带的ntsd 命令。
由于工行的生产环境中的SEP 客户端没有安装防病毒模块,导致SEP 客户端不具备自带的防篡改功能,所以我们只能通过应用程序与设备控制策略来实现对SEP 进程的保护。
我们需要保护的SEP的进程包括如下6个:
■ SNAC.exe
■ SmcGui.exe
■ RtvScan.exe
■ ccSvcHst.exe
■ ccApp.exe
具体的操作步骤如下:
1. 新建一个应用程序与设备控制策略。
2. 在应用程序控制规则中,添加条件,并将此规则应用于*.*
3. 选择‘终止进程尝试’,在列表中添加SEP 的进程:
4. 将操作选为‘禁止访问’:
5. 创建规则,禁止启动ntds.exe:
策略在客户端生效后的测试结果如下:
当用户试图用Windows 任务管理器去杀掉SEP 的进程时,操作被阻止:
当用户尝试用360 安全卫士去杀SEP 的进程时,操作被阻止:
当用户尝试使用ntsd.exe 命令去杀掉SEP 的进程时,操作被阻止:
保护SEP 的服务
停掉SEP 的服务,目前可能的方法包括有:使用360 安全卫士中的‘系统服务状态’、使用Windows 操作系统中的SC 命令。
在Windows 系统中,每一项服务都在注册表的
HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下有对应项,要
保护SEP 客户端的服务不被篡改,我们只需要保护对应的注册表项不被修改。
我们需要保护的SEP 的服务包括:
■ SmcService
■ SNAC
■ ccSetMgr
■ ccEvtMgr
SEP 客户端的四个服务,默认的启动方式都是自动,这个是由注册表中的键‘Start’
的值来确定的。值为2,则服务的启动方式为自动;值为3,则服务的启动方式为手
动。
停掉ccEvtMgr 和ccSetMgr 服务,对应的是在注册表中将以下四个键删掉:
HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccEvtCli
HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSettingsService HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSvcHst_ccEvtMgr HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSvcHst_ccSetMgr
我们保护住着四个键不被删掉,就可以保护ccEvtMgr 和ccSetMgr 服务不被停止。但是,ccEvtMgr 和ccSetMgr 两个服务的这个特性,对于SmcService 和SNAC 这两个服务并不适用。
1. 在3.1 的策略的基础上,添加‘注册表访问尝试’条件:
2. 允许读取操作,但是禁止修改操作:
3. 添加‘注册表访问尝试’条件:
4. 允许读取操作,禁止修改操作:
5. 为本规则添加两个例外的进程:smc.exe 和snac.exe:
策略在客户端生效后,通过services.msc修改SEP服务的启动属性将被阻止。
但是,测试中我们发现:即使对SEP 客户端的服务所对应的注册表键值进行了
保护,但是360 安全卫士中的‘系统服务状态’工具,依然可以修改SEP 服务的
属性,它可以将SEP 的服务设置为‘禁止启动’,实际上,它是将SEP 服务的启
动属性设置为了手动。虽然我们可以设置策略保护注册表中SEP 服务的Start
键值,但是不能阻止360 安全卫士的动作。不过,在测试中,并没有发现通过
360 安全卫士的这种动作,会对SEP 客户端造成什么影响。在360 安全卫士中
将SEP 服务设置为‘禁止启动’之后,SEP 客户端依然工作正常。
保护SEP 的文件夹和注册表
用户可以通过修改本地安全策略,将SEP 客户端的安装目录添加为不被允许的路径规则,影响SEP 客户端的正常使用。另外,用户可能通过第三方工具来修改SEP目录的权限,从而导致SEP 客户端不能正常使用。
对于SEP 客户端,有如下目录至关重要:
%PROGRAMFILES%\Symantec
%PROGRAMFILES%\Common Files\Symantec Shared
C:\Documents and Settings\All Users\Application Data\Symantec
SEP 在注册表中对应的目录为:
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec