篡改防护

一句话描述:限制 哪些进程哪些文件 有 哪些操作 


一、规则匹配方法

既然是“限制哪些进程对哪些文件有哪些操作”,那自然匹配条件就是三个:路径、进程、操作,只有三者都满足才算匹配成功。

匹配流程如下:

1、先检测被操作的文件是否在“防护路径”内

2、如果在防护路径内,再从“高级规则”按优先级逐条检测

3、如果文件路径、进程路径、操作动作都匹配,进行拦截。任意一个不匹配,放行

如果有多条主规则,则重复上述1-3步,直到检查完所有规则。


二、规则执行顺序

1、主规则

主规则按照添加时间倒序执行,匹配成功就立即拦截。

规则列表.jpg


2、高级规则

每条主规则的高级规则,按照优先级从高到低执行,相同优先级按照添加时间倒序执行,匹配成功就立即拦截。

高级规则列表.jpg


注意事项:

★ 优先级范围1-99,1的优先级最高,99的优先级最低,即数字越小优先级越高

★ 高级规则的“操作限制”优先级高于主规则的“操作限制”。(也就是如果在高级规则匹配成功就立即拦截,高级规则没有匹配成功才会检查主规则的操作限制)


三、规则填写说明

1、基本规则

启用规则:

勾选表示启用


防护目录:

填写需要防护的文件或目录,必须以绝对路径开头,*只能在最右侧

填写示例:

d:\wwwroot\*,表示对d:\wwwroot自身及子路径进行防护

d:\wwwroot,表示d:\wwwroot自身进行防护

d:\wwwroot\index.php,表示d:\wwwroot\index.php自身进行防护


操作限制:

禁止的操作动作(注意,这里的操作限制对所有进程生效,即任何进程都匹配)

禁止读取:禁止读取文件或目录内容(不含属性)

禁止执行:禁止将可执行文件运行到进程

禁止新建:禁止新增文件或目录

禁止修改:禁止修改文件内容(不含属性)

禁止删除:禁止删除文件或目录

禁止改名:禁止重命名文件或目录。注意:如果更改了存储目录的重命名(如剪切、移动),则识别为新建+删除

禁止篡改时间:禁止将文件或目录的“最后修改时间”改为当前时间3秒之前


消息通知:

拦截篡改行为时给管理员发送通知,可能会很多,慎重开启


篡改防护-基本设置.jpg



2、高级规则

如果基本规则无法满足需求,可以进入高级规则添加复杂的规则。


子路径:

需要防护的子路径,只填写*表示所有子路径

支持完整路径或部分路径,部分路径需要在一侧或两侧加*

详细规则:http://www.hws.com/doc/frq/51.html


填写示例:

*\uploads\*,表示包含有\uploads\的路径都匹配,如:d:\web\uploads\logo.jpg

*\admin.php,表示admin.php文件

*.php,表示php类型的文件

d:\wwwroot\admin*,表示所有以d:\wwwroot\admin开头的路径(注意:此路径必须在防护路径内),如:d:\wwwroot\admin\index.php

d:\wwwroot\admin\login.php,表示这个文件自身


受限进程:

受此规则限制的进程路径,只填写*表示所有进程

支持完整路径或部分路径,部分路径需要在一侧或两侧加*

详细规则:http://www.hws.com/doc/frq/51.html


填写示例:

*,表示所有进程

*\bin\*,表示路径包含有\bin\的进程,如:d:\mysql\bin\mysql.exe

*\mysqld.exe,表示mysqld.exe进程

d:\software\*,表示d:\software下的所有进程,如:d:\software\mysql\mysqld.exe

d:\software\mysql\mysqld.exe,表示d:\software\mysql\mysqld.exe这个进程


优先级:

高级规则按“优先级”从高到低顺序执行,范围:1-99,1表示最高优先级,99表示最低优先级


篡改防护-高级规则.jpg


上一篇:篡改防护