SEP 反破解方案--如何防止用户通用或者卸载SEP客户端.docxVIP

概述在将 SEP 部署到用户的实际生产环境中之后，我们有发现部分‘很聪明’的用户，找到了一些可以破解 SEP 的方法。这种破解主要集中在如下几个方面：■ 通过 360 安全卫士软件杀掉 SEP 的进程、停掉 SEP 的服务■ 通过修改本地安全策略来禁用 SEP 服务■ 通过 Windows 系统中的 ntsd 命令来杀掉 SEP 的进程■ 修改 SEP 的目录以及 SEP 在注册表中对应的键值，让 SEP 不能正常工作■ 使用 CleanWipe 来下载 SEP我们可以在 SEP 中添加一些有针对性的策略来反破解用户的这些行为，从而保护SEP 客户端。软件版本本文档中，我们使用的软件版本分别为：SEP/SEPM： RU6MP2 (11.0.6200.754)SEP 客户端操作系统平台：Windows XP Professional SP3, Windows 7 EnterpriseEditionSEPM 操作系统平台：Windows Server 2003 R2 Enterprise SP2360 安全卫士：7.5.0.2001反破解方法及测试结果下面介绍具体的反破解方法。保护 SEP 进程对 SEP 客户端的保护，首先要保护 SEP 客户端的进程不被第三方工具或程序杀掉。目前已知的用户可能杀掉 SEP 进程的方法包括有：使用 Windows 任务管理器、使用360安全卫士中的‘进程管理器’、使用 Windows 自带的 ntsd 命令。由于工行的生产环境中的 SEP 客户端没有安装防病毒模块，导致 SEP 客户端不具备自带的防篡改功能，所以我们只能通过应用程序与设备控制策略来实现对 SEP 进程的保护。我们需要保护的SEP的进程包括如下6个：■ SNAC.exe■ SmcGui.exe■ RtvScan.exe■ ccSvcHst.exe■ ccApp.exe具体的操作步骤如下：1. 新建一个应用程序与设备控制策略。2. 在应用程序控制规则中，添加条件，并将此规则应用于 *.*3. 选择‘终止进程尝试’，在列表中添加 SEP 的进程：?4. 将操作选为‘禁止访问’：5. 创建规则，禁止启动 ntds.exe：策略在客户端生效后的测试结果如下：当用户试图用 Windows 任务管理器去杀掉 SEP 的进程时，操作被阻止：当用户尝试用 360 安全卫士去杀 SEP 的进程时，操作被阻止：当用户尝试使用 ntsd.exe 命令去杀掉 SEP 的进程时，操作被阻止：?保护 SEP 的服务?停掉 SEP 的服务，目前可能的方法包括有：使用 360 安全卫士中的‘系统服务状态’、使用 Windows 操作系统中的 SC 命令。在 Windows 系统中，每一项服务都在注册表的HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下有对应项，要保护 SEP 客户端的服务不被篡改，我们只需要保护对应的注册表项不被修改。我们需要保护的 SEP 的服务包括：■ SmcService■ SNAC■ ccSetMgr■ ccEvtMgrSEP 客户端的四个服务，默认的启动方式都是自动，这个是由注册表中的键‘Start’的值来确定的。值为2，则服务的启动方式为自动；值为 3，则服务的启动方式为手动。停掉 ccEvtMgr 和 ccSetMgr 服务，对应的是在注册表中将以下四个键删掉：HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccEvtCliHKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSettingsServiceHKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSvcHst_ccEvtMgrHKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSvcHst_ccSetMgr我们保护住着四个键不被删掉，就可以保护 ccEvtMgr 和 ccSetMgr 服务不被停止。但是，ccEvtMgr 和 ccSetMgr 两个服务的这个特性，对于 SmcService 和 SNAC 这两个服务并不适用。1. 在 3.1 的策略的基础上，添加‘注册表访问尝试’条件：2. 允许读取操作，但是禁止修改操作：3. 添加‘注册表访问尝试’条件：4. 允许读取操作，禁止修改操作：5. 为本规则添加两个例外的进程：smc.exe 和 snac.exe：策略在客户端生效后，通过services.msc修改SEP服务的启动属性将被阻止。但是，测试中我们发现： 即