篡改防護(hù)

一句話描述:限制 哪些進(jìn)程哪些文件 有 哪些操作 


一、規(guī)則匹配方法

既然是“限制哪些進(jìn)程對哪些文件有哪些操作”,那自然匹配條件就是三個:路徑、進(jìn)程、操作,只有三者都滿足才算匹配成功。

匹配流程如下:

1、先檢測被操作的文件是否在“防護(hù)路徑”內(nèi)

2、如果在防護(hù)路徑內(nèi),再從“高級規(guī)則”按優(yōu)先級逐條檢測

3、如果文件路徑、進(jìn)程路徑、操作動作都匹配,進(jìn)行攔截。任意一個不匹配,放行

如果有多條主規(guī)則,則重復(fù)上述1-3步,直到檢查完所有規(guī)則。


二、規(guī)則執(zhí)行順序

1、主規(guī)則

主規(guī)則按照添加時間倒序執(zhí)行,匹配成功就立即攔截。

規(guī)則列表.jpg


2、高級規(guī)則

每條主規(guī)則的高級規(guī)則,按照優(yōu)先級從高到低執(zhí)行,相同優(yōu)先級按照添加時間倒序執(zhí)行,匹配成功就立即攔截。

高級規(guī)則列表.jpg


注意事項(xiàng):

★ 優(yōu)先級范圍1-99,1的優(yōu)先級最高,99的優(yōu)先級最低,即數(shù)字越小優(yōu)先級越高

★ 高級規(guī)則的“操作限制”優(yōu)先級高于主規(guī)則的“操作限制”。(也就是如果在高級規(guī)則匹配成功就立即攔截,高級規(guī)則沒有匹配成功才會檢查主規(guī)則的操作限制)


三、規(guī)則填寫說明

1、基本規(guī)則

啟用規(guī)則:

勾選表示啟用


防護(hù)目錄:

填寫需要防護(hù)的文件或目錄,必須以絕對路徑開頭,*只能在最右側(cè)

填寫示例:

d:\wwwroot\*,表示對d:\wwwroot自身及子路徑進(jìn)行防護(hù)

d:\wwwroot,表示d:\wwwroot自身進(jìn)行防護(hù)

d:\wwwroot\index.php,表示d:\wwwroot\index.php自身進(jìn)行防護(hù)


操作限制:

禁止的操作動作(注意,這里的操作限制對所有進(jìn)程生效,即任何進(jìn)程都匹配)

禁止讀。航棺x取文件或目錄內(nèi)容(不含屬性)

禁止執(zhí)行:禁止將可執(zhí)行文件運(yùn)行到進(jìn)程

禁止新建:禁止新增文件或目錄

禁止修改:禁止修改文件內(nèi)容(不含屬性)

禁止刪除:禁止刪除文件或目錄

禁止改名:禁止重命名文件或目錄。注意:如果更改了存儲目錄的重命名(如剪切、移動),則識別為新建+刪除

禁止篡改時間:禁止將文件或目錄的“最后修改時間”改為當(dāng)前時間3秒之前


消息通知:

攔截篡改行為時給管理員發(fā)送通知,可能會很多,慎重開啟


篡改防護(hù)-基本設(shè)置.jpg



2、高級規(guī)則

如果基本規(guī)則無法滿足需求,可以進(jìn)入高級規(guī)則添加復(fù)雜的規(guī)則。


子路徑:

需要防護(hù)的子路徑,只填寫*表示所有子路徑

支持完整路徑或部分路徑,部分路徑需要在一側(cè)或兩側(cè)加*

詳細(xì)規(guī)則:http://www.smartrecovery.cn/doc/frq/51.html


填寫示例:

*\uploads\*,表示包含有\(zhòng)uploads\的路徑都匹配,如:d:\web\uploads\logo.jpg

*\admin.php,表示admin.php文件

*.php,表示php類型的文件

d:\wwwroot\admin*,表示所有以d:\wwwroot\admin開頭的路徑(注意:此路徑必須在防護(hù)路徑內(nèi)),如:d:\wwwroot\admin\index.php

d:\wwwroot\admin\login.php,表示這個文件自身


受限進(jìn)程:

受此規(guī)則限制的進(jìn)程路徑,只填寫*表示所有進(jìn)程

支持完整路徑或部分路徑,部分路徑需要在一側(cè)或兩側(cè)加*

詳細(xì)規(guī)則:http://www.smartrecovery.cn/doc/frq/51.html


填寫示例:

*,表示所有進(jìn)程

*\bin\*,表示路徑包含有\(zhòng)bin\的進(jìn)程,如:d:\mysql\bin\mysql.exe

*\mysqld.exe,表示mysqld.exe進(jìn)程

d:\software\*,表示d:\software下的所有進(jìn)程,如:d:\software\mysql\mysqld.exe

d:\software\mysql\mysqld.exe,表示d:\software\mysql\mysqld.exe這個進(jìn)程


優(yōu)先級:

高級規(guī)則按“優(yōu)先級”從高到低順序執(zhí)行,范圍:1-99,1表示最高優(yōu)先級,99表示最低優(yōu)先級


篡改防護(hù)-高級規(guī)則.jpg


上一篇:篡改防護(hù)